Aktivieren Sie Compliance Manager, damit Sie Frameworks auf Ihre Google Cloud Organisation oder Ihr Projekt anwenden können.
Hinweis
Führen Sie diese Aufgaben aus, bevor Sie Compliance Manager aktivieren.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aktivieren von Compliance Manager benötigen:
-
Für eine Organisation aktivieren:
- Administrator für Organisationsrichtlinien (
roles/orgpolicy.policyAdmin) für die Organisation - Sicherheitscenter-Administratorbearbeiter (
roles/securitycenter.adminEditor) für die Organisation
- Administrator für Organisationsrichtlinien (
-
Für ein Projekt aktivieren:
- Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin) für das Projekt - Sicherheitscenter-Administrator (
roles/securitycenter.admin) für das Projekt
- Projekt-IAM-Administrator (
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Compliance Manager aktivieren
Führen Sie die folgenden Schritte aus, um Compliance Manager auf Organisations- oder Projektebene zu aktivieren:
- Aktivieren Sie Compliance Manager mit einer der folgenden Methoden:
Weitere Informationen zu Security Command Center-Stufen finden Sie unter Security Command Center Dienststufen. Compliance Manager unterstützt keine kundenverwalteten Verschlüsselungsschlüssel (CMEK). Wenn Sie Compliance Manager aktivieren, werden auch die folgenden Dienste aktiviert:Szenario Anleitung Sie haben Security Command Center nicht aktiviert und möchten die Stufe „Security Command Center Standard“ verwenden. Aktivieren Sie Compliance Manager, indem Sie Security Command Center Standard aktivieren. Bei neuen Organisationen, die die Stufe „Standard“ aktivieren, wird Compliance Manager automatisch aktiviert.
Sie verwenden bereits die Stufe „Security Command Center Standard“. Es sind keine weiteren Schritte erforderlich.
Compliance Manager wird durch ein Backend-Upgrade aktiviert. Weitere Informationen finden Sie unter Migration und Aktivierung der Stufe „Standard“.Sie haben Security Command Center nicht aktiviert und möchten die Stufe „Security Command Center Premium“ verwenden. Aktivieren Sie Compliance Manager, indem Sie Security Command Center Premium aktivieren. Sie haben Security Command Center nicht aktiviert und möchten die Stufe „Security Command Center Enterprise“ verwenden. Aktivieren Sie Compliance Manager, indem Sie Security Command Center Enterprise aktivieren. Sie haben die Stufe „Security Command Center Premium“ bereits aktiviert und möchten Compliance Manager aktivieren. Aktivieren Sie Compliance Manager auf der Seite Einstellungen. Sie haben die Stufe „Security Command Center Enterprise“ bereits aktiviert und möchten Compliance Manager aktivieren. Aktivieren Sie Compliance Manager auf der Seite Activate Compliance Manager aktivieren. Sie haben bereits eine Security Command Center-Dienststufe aktiviert und möchten Compliance Manager für ein einzelnes Projekt aktivieren. Wählen Sie den Projektbereich aus und aktivieren Sie Compliance Manager auf der Seite Einstellungen.
- (Nur Stufen „Premium“ und „Enterprise“) Schutz sensibler Daten um Signale zur Datensensibilität für die standardmäßige Risikobewertung von Daten zu verwenden.
- (Nur Stufen „Premium“ und „Enterprise“) Event Threat Detection (Teil von Security Command Center) auf Organisationsebene.
- Datensicherheitsstatus-Verwaltung für Frameworks zur Datensicherheit.
(Nur Stufen „Premium“ und „Enterprise“) KI Schutz für Frameworks zur KI-Sicherheit.
Der Cloud Security Compliance Service Agent wird erstellt, wenn Sie Compliance Manager aktivieren. Compliance Manager verwendet je nach Aktivierungsbereich einen Dienst-Agent auf Organisationsebene (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) oder auf Projektebene (service-PROJECT_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com), um auf Ressourcen zuzugreifen.
Für Security Command Center Standard wird das Framework „Security Essentials“ automatisch auf die Organisation angewendet.
Für Security Command Center Premium werden Frameworks nicht automatisch auf die Organisation angewendet.
Für Security Command Center Enterprise werden die folgenden Frameworks automatisch auf die Organisation angewendet:
- Von Google empfohlene KI-Grundlagen – Vertex AI
- Grundlagen für Datensicherheit und Datenschutz
Dienststufen in Compliance Manager verwalten
Die Funktionen von Compliance Manager variieren je nach Security Command Center Dienststufe. Die Stufe „Standard“ bietet eine Sicherheitsbaseline über das Framework „Security Essentials“. Die Stufen „Premium“ und „Enterprise“ umfassen erweiterte Funktionen wie integrierte rechtliche Frameworks, Audit-Funktionen und benutzerdefinierte Cloud Kontrollen.
Downgrade auf die Dienststufe „Security Command Center Standard“
Wenn Sie ein Downgrade Ihrer Organisation oder Ihres Projekts auf die Stufe „Standard“ durchführen, verlieren Sie den Zugriff auf erweiterte Funktionen wie integrierte rechtliche Frameworks, Audit-Funktionen und benutzerdefinierte Cloud Kontrollen. Prüfen Sie die Auswirkungen, bevor Sie ein Downgrade durchführen, da einige Daten dauerhaft verloren gehen oder geändert werden können.
Auswirkungen auf Frameworks und Bereitstellungen
Wenn Sie ein Downgrade auf Security Command Center Standard durchführen, werden die folgenden Änderungen an Frameworks und Bereitstellungen vorgenommen:
- Das System entfernt automatisch alle integrierten Framework-Bereitstellungen (außer Security Essentials) ohne Warnung oder Benachrichtigung.
- Wenn ein benutzerdefiniertes Framework eine Cloud Kontrolle enthält, die in der Stufe „Standard“ nicht unterstützt wird, entfernt das System das gesamte Framework.
Auswirkungen auf Ergebnisse
Wenn Sie ein Downgrade auf Security Command Center Standard durchführen, werden die folgenden Änderungen an Ergebnissen vorgenommen:
- Das System markiert die Ergebnisse, die mit nicht unterstützten Frameworks verknüpft sind, als inaktiv.
- Sie haben sieben Tage lang Lesezugriff auf inaktive Ergebnisse. Danach laufen sie ab und sind nicht mehr verfügbar.
Auswirkungen auf benutzerdefinierte Cloud-Kontrollen
Wenn Sie ein Downgrade auf Security Command Center Standard durchführen, werden die folgenden Änderungen an benutzerdefinierten Cloud Kontrollenvorgenommen:
- Sie können keine benutzerdefinierten Cloud-Kontrollen erstellen oder verwalten.
- Benutzerdefinierte Cloud-Kontrollen bleiben erhalten, werden aber inaktiv und sind nicht mehr nutzbar. Das System entfernt automatisch alle aktiven Framework-Bereitstellungen, die benutzerdefinierte Cloud-Kontrollen enthalten.
- Wenn Sie ein Downgrade auf die Stufe „Security Command Center Standard“ durchführen, werden die mit benutzerdefinierten Cloud-Kontrollen verknüpften IAM-Berechtigungen unwirksam. Sie müssen sie nicht manuell widerrufen.
Auswirkungen auf Audit-Funktionen
Audit-Funktionen sind nur in den Stufen „Security Command Center Premium“ und „Enterprise“ verfügbar.
Audit-Berichte und Beweise in Ihren Cloud Storage-Buckets werden durch Regeln zur Verwaltung des Objektlebenszyklus und nicht durch Aufbewahrungsrichtlinien von Security Command Center verwaltet.
Upgrade auf die Dienststufen „Security Command Center Premium“ oder „Enterprise“
Wenn Sie zu den Dienststufen „Security Command Center Premium“ oder „Enterprise“ zurückkehren, werden die erweiterten Funktionen wiederhergestellt. Das Upgrade hat die folgenden Auswirkungen auf Ihre Bereitstellungen:
- Inaktive benutzerdefinierte Kontrollen sind wieder verfügbar.
- Framework-Bereitstellungen, die während des Downgrades entfernt wurden, können nicht wiederhergestellt werden. Sie müssen Ihre Frameworks manuell neu bereitstellen.
Nächste Schritte
- IAM-Rollen für Ihre Compliance Nutzer konfigurieren.
- Unterstützung für VPC Service Controls konfigurieren.
- Framework verwalten.
- Datensicherheitsstatus-Verwaltung konfigurieren.
- KI-Schutz konfigurieren.