Activez Compliance Manager pour pouvoir appliquer des frameworks à votre Google Cloud organisation ou à votre projet.
Avant de commencer
Effectuez ces tâches avant d'activer Compliance Manager.
Pour obtenir les autorisations nécessaires pour activer Compliance Manager, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Activer pour une organisation :
- Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin) sur l'organisation - Éditeur administrateur du centre de sécurité (
roles/securitycenter.adminEditor) sur l'organisation
- Administrateur des règles d'administration (
-
Activer pour un projet :
- Administrateur IAM du projet (
roles/resourcemanager.projectIamAdmin) sur le projet - Administrateur du centre de sécurité (
roles/securitycenter.admin) sur le projet
- Administrateur IAM du projet (
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer Compliance Manager
Pour activer Compliance Manager au niveau de l'organisation ou du projet, procédez comme suit :
- Activez Compliance Manager à l'aide de l'une des méthodes suivantes :
Pour en savoir plus sur les niveaux de Security Command Center, consultez Niveaux de service de Security Command Center. Compliance Manager ne prend pas en charge les clés de chiffrement gérées par le client (CMEK). Lorsque vous activez Compliance Manager, les services suivants sont également activés :Scénario Instructions Vous n'avez pas activé Security Command Center et vous souhaitez utiliser le niveau Standard de Security Command Center. Activez Compliance Manager en activant Security Command Center Standard. Pour les nouvelles organisations qui activent le niveau Standard, Compliance Manager est automatiquement activé.
Vous utilisez déjà le niveau Standard de Security Command Center. Aucune action n'est requise.
Compliance Manager est activé via une mise à niveau backend. Pour en savoir plus, consultez Migration et activation du niveau Standard.Vous n'avez pas activé Security Command Center et vous souhaitez utiliser le niveau Premium de Security Command Center. Activez Compliance Manager en activant Security Command Center Premium. Vous n'avez pas activé Security Command Center et vous souhaitez utiliser le niveau Security Command Center Enterprise. Activez Compliance Manager en activant Security Command Center Enterprise. Vous avez activé le niveau Premium de Security Command Center précédemment et vous souhaitez activer Compliance Manager. Activez Compliance Manager à l'aide de la page Paramètres. Vous avez activé le niveau Security Command Center Enterprise précédemment et vous souhaitez activer Compliance Manager. Activez Compliance Manager à l'aide de la page Activer Compliance Manager. Vous avez activé un niveau de service Security Command Center précédemment et vous souhaitez activer Compliance Manager pour un seul projet. Sélectionnez le champ d'application du projet et activez Compliance Manager à l'aide de la page Paramètres.
- (Niveaux Premium et Enterprise uniquement) Protection des données sensibles pour utiliser les signaux de sensibilité des données pour l'évaluation par défaut des risques liés aux données.
- (Niveaux Premium et Enterprise uniquement) Event Threat Detection (qui fait partie de Security Command Center) au niveau de l'organisation.
- Data Security Posture Management pour les frameworks de sécurité des données.
(Niveaux Premium et Enterprise uniquement) Protection de l'IA pour les frameworks de sécurité de l'IA.
L'agent de service de sécurité et de conformité du cloud est créé lorsque vous activez Compliance Manager. Compliance Manager utilise un agent de service au niveau de l'organisation (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) ou au niveau du projet (service-PROJECT_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com) pour accéder aux ressources, en fonction de votre champ d'application d'activation.
Pour Security Command Center Standard, le framework Security Essentials est appliqué automatiquement à l'organisation.
Pour Security Command Center Premium, les frameworks ne sont pas appliqués automatiquement à l'organisation.
Pour Security Command Center Enterprise, les frameworks suivants sont appliqués automatiquement à l'organisation :
- Google Recommended AI Essentials - Vertex AI
- Data Security and Privacy Essentials
Gérer les niveaux de service dans Compliance Manager
Les fonctionnalités de Compliance Manager varient en fonction du niveau de service Security Command Center service tier. Le niveau Standard fournit une base de référence de sécurité via le Security Essentials framework. Les niveaux Premium et Enterprise incluent des fonctionnalités avancées, telles que des frameworks réglementaires intégrés, des fonctionnalités d'audit, et des contrôles cloud personnalisés.
Revenir au niveau de service Standard de Security Command Center
Si vous passez votre organisation ou votre projet au niveau Standard, vous n'aurez plus accès aux fonctionnalités avancées telles que les frameworks réglementaires intégrés, fonctionnalités d'audit, et les contrôles cloud personnalisés. Consultez les effets avant de revenir à une version antérieure, car vous risquez de perdre ou de modifier définitivement certaines données.
Impact sur les frameworks et les déploiements
Lorsque vous passez à Security Command Center Standard, les modifications suivantes sont apportées aux frameworks et aux déploiements :
- Le système supprime automatiquement tous les déploiements de frameworks intégrés (à l'exception de Security Essentials) sans avertissement ou notification.
- Si un framework personnalisé contient un contrôle cloud qui n'est pas compatible avec le niveau Standard, le système supprime l'ensemble du framework.
Impact sur les résultats
Lorsque vous passez à Security Command Center Standard, les modifications suivantes sont apportées aux résultats :
- Le système marque comme inactifs les résultats associés aux frameworks non compatibles.
- Vous disposez d'un accès en lecture seule aux résultats inactifs pendant sept jours, après quoi ils expirent et ne sont plus disponibles.
Impact sur les contrôles cloud personnalisés
Lorsque vous passez à Security Command Center Standard, les modifications suivantes sont apportées aux contrôles cloud personnalisés :
- Vous ne pouvez pas créer ni gérer de contrôles cloud personnalisés.
- Les contrôles cloud personnalisés sont conservés, mais deviennent inactifs et inutilisables. Le système supprime automatiquement tous les déploiements de frameworks actifs qui contiennent des contrôles cloud personnalisés.
- Si vous passez au niveau Standard de Security Command Center, les autorisations IAM associées aux contrôles cloud personnalisés deviennent inefficaces. Vous n'avez pas besoin de les révoquer manuellement.
Impact sur les fonctionnalités d'audit
Les fonctionnalités d'audit sont exclusives aux niveaux Premium et Enterprise de Security Command Center.
Les rapports d'audit et les preuves dans vos buckets Cloud Storage sont gérés par les règles de gestion du cycle de vie des objets, et non par les règles de conservation de Security Command Center.
Repasser aux niveaux de service Premium ou Enterprise de Security Command Center
Lorsque vous revenez aux niveaux de service Security Command Center Premium ou Enterprise, les fonctionnalités avancées sont restaurées. La mise à niveau a les effets suivants sur vos déploiements :
- Les contrôles personnalisés inactifs redeviennent disponibles.
- Les déploiements de frameworks supprimés lors du passage à une version antérieure ne sont pas récupérables. Vous devez redéployer manuellement vos frameworks.
Étape suivante
- Configurez les rôles IAM pour vos utilisateurs de conformité.
- Configurez la compatibilité avec VPC Service Controls.
- Gérez un framework.
- Configurez Data Security Posture Management.
- Configurez la protection de l'IA.