啟用 Compliance Manager,並設定對 VPC Service Controls 服務範圍的支援,以便將架構套用至機構。 Google Cloud
事前準備
啟用 Compliance Manager 前,請先完成下列工作。
-
如要取得啟用 Compliance Manager 所需的權限,請要求管理員在貴機構中授予下列 IAM 角色:
-
組織政策管理員 (
roles/orgpolicy.policyAdmin) -
安全中心管理員編輯者 (
roles/securitycenter.adminEditor)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
-
組織政策管理員 (
啟用 Compliance Manager
如要在機構層級啟用法規遵循管理工具,請完成下列步驟:
使用下列任一方法啟用法規遵循管理工具:
情境 操作說明 您尚未啟用 Security Command Center,或目前使用 Security Command Center Standard 級別,但想改用 Security Command Center Premium 級別。 如要啟用 Compliance Manager,請啟用 Security Command Center Premium。 您尚未啟用 Security Command Center,但想使用 Security Command Center Enterprise 方案。 如要啟用 Compliance Manager,請啟用 Security Command Center Enterprise。 您先前已啟用 Security Command Center Premium 級別,現在想啟用 Compliance Manager。 使用「設定」頁面啟用合規管理工具。 您先前已啟用 Security Command Center Enterprise 級別,現在想啟用 Compliance Manager。 使用「啟用 Compliance Manager」頁面啟用 Compliance Manager。 如要進一步瞭解 Security Command Center 方案,請參閱「Security Command Center 服務方案」。
法規遵循管理員不支援客戶自行管理的加密金鑰 (CMEK)。
啟用法規遵循管理員時,系統也會啟用下列服務:
- Sensitive Data Protection 使用資料私密性信號進行預設資料風險評估。
- 在機構層級啟用 Event Threat Detection (Security Command Center 的一部分)。
- 資料安全防護機制管理,適用於資料安全架構。
- (預覽版) 適用於 AI 安全架構的 AI 保護措施。
啟用 Compliance Manager 時,系統會建立 Cloud Security Compliance 服務代理程式 (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com)。合規管理員會使用這個服務代理程式存取機構資源。
如果是 Security Command Center Premium,系統不會自動將架構套用至機構。
對於 Security Command Center Enterprise,系統會自動將下列架構套用至機構:
- AI Protection
- 資料安全與隱私權基本概念