Abilitare Compliance Manager

Abilita Compliance Manager per poter applicare i framework alla tua Google Cloud organizzazione o al tuo progetto.

Prima di iniziare

Completa queste attività prima di abilitare Compliance Manager.

Per ottenere le autorizzazioni necessarie per abilitare Compliance Manager, chiedi all'amministratore di concederti i seguenti ruoli IAM:

• Abilita per un'organizzazione:
  • Organization Policy Administrator (roles/orgpolicy.policyAdmin) sull'organizzazione
  • Security Center Admin Editor (roles/securitycenter.adminEditor) sull'organizzazione
• Abilita per un progetto:
  • Project IAM Admin (roles/resourcemanager.projectIamAdmin) sul progetto
  • Security Center Admin (roles/securitycenter.admin) sul progetto

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilita Compliance Manager

Per abilitare Compliance Manager a livello di organizzazione o progetto:

1. Abilita Compliance Manager utilizzando uno dei seguenti metodi:

   Scenario	Istruzioni
   Non hai attivato Security Command Center e vuoi utilizzare il livello Security Command Center Standard.	Abilita Compliance Manager attivando Security Command Center Standard. Per le nuove organizzazioni che attivano il livello Standard, Compliance Manager viene abilitato automaticamente.
   Stai già utilizzando il livello Security Command Center Standard.	Non occorre alcun intervento. Compliance Manager viene abilitato tramite un upgrade del backend. Per saperne di più, consulta Migrazione e attivazione del livello Standard.
   Non hai attivato Security Command Center e vuoi utilizzare il livello Security Command Center Premium.	Abilita Compliance Manager attivando Security Command Center Premium.
   Non hai attivato Security Command Center e vuoi utilizzare il livello Security Command Center Enterprise.	Abilita Compliance Manager attivando Security Command Center Enterprise.
   In precedenza hai attivato il livello Security Command Center Premium e vuoi abilitare Compliance Manager.	Abilita Compliance Manager utilizzando la pagina Impostazioni. Vai alla pagina Impostazioni
   In precedenza hai attivato il livello Security Command Center Enterprise e vuoi abilitare Compliance Manager.	Abilita Compliance Manager utilizzando la pagina Attiva Compliance Manager. Vai ad Attiva Compliance Manager
   In precedenza hai attivato un livello di servizio Security Command Center e vuoi abilitare Compliance Manager per un singolo progetto.	Seleziona l'ambito del progetto e abilita Compliance Manager utilizzando la pagina Impostazioni. Vai alla pagina Impostazioni

   Per saperne di più sui livelli di Security Command Center, consulta Livelli di servizio di Security Command Center. Compliance Manager non supporta le chiavi di crittografia gestite dal cliente (CMEK). Quando abiliti Compliance Manager, vengono abilitati anche i seguenti servizi:

• (Solo livelli Premium ed Enterprise) Sensitive Data Protection per utilizzare i segnali di sensibilità dei dati per la valutazione predefinita del rischio dei dati.
• (Solo livelli Premium ed Enterprise) Event Threat Detection (parte di Security Command Center) a livello di organizzazione.
• Data Security Posture Management per i framework di sicurezza dei dati.

• (Solo livelli Premium ed Enterprise) Protezione AI per i framework di sicurezza AI.

  L'agente del servizio Cloud Security Compliance viene creato quando abiliti Compliance Manager. Compliance Manager utilizza un agente di servizio a livello di organizzazione (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) o di progetto (service-PROJECT_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com) per accedere alle risorse, a seconda dell' ambito di attivazione.

Per Security Command Center Standard, il framework Security Essentials viene applicato automaticamente all'organizzazione.

Per Security Command Center Premium, i framework non vengono applicati automaticamente all'organizzazione.

Per Security Command Center Enterprise, i seguenti framework vengono applicati automaticamente all'organizzazione:

• Elementi essenziali dell'AI Google consigliati - Vertex AI
• Elementi essenziali per la sicurezza e la privacy dei dati

Gestisci i livelli di servizio in Compliance Manager

Le funzionalità di Compliance Manager variano a seconda del livello di servizio di Security Command Center service tier. Il livello Standard fornisce una baseline di sicurezza tramite il Security Essentials framework. I livelli Premium ed Enterprise includono funzionalità avanzate, come framework normativi integrati, funzionalità di audit, e controlli cloud personalizzati.

Esegui il downgrade al livello di servizio Security Command Center Standard

Se esegui il downgrade dell'organizzazione o del progetto al livello Standard, perdi l'accesso alle funzionalità avanzate come framework normativi integrati, funzionalità di audit e controlli cloud personalizzati. Esamina gli effetti prima di eseguire il downgrade perché potresti perdere o modificare definitivamente alcuni dati.

Impatto su framework e deployment

Quando esegui il downgrade a Security Command Center Standard, i framework e i deployment subiscono le seguenti modifiche:

• Il sistema rimuove automaticamente tutti i deployment di framework integrati (escluso Security Essentials) senza avviso o notifica.
• Se un framework personalizzato contiene un controllo cloud non supportato nel livello Standard, il sistema rimuove l'intero framework.

Impatto sui risultati

Quando esegui il downgrade a Security Command Center Standard, i risultati subiscono le seguenti modifiche:

• Il sistema contrassegna come inattivi i risultati associati ai framework non supportati.
• Hai accesso in sola lettura ai risultati inattivi per sette giorni, dopodiché scadono e non sono più disponibili.

Impatto sui controlli cloud personalizzati

Quando esegui il downgrade a Security Command Center Standard, i controlli cloud personalizzati subiscono le seguenti modifiche: custom cloud controls:

• Non puoi creare o gestire controlli cloud personalizzati.
• I controlli cloud personalizzati vengono conservati, ma diventano inattivi e inutilizzabili. Il sistema rimuove automaticamente tutti i deployment di framework attivi che contengono controlli cloud personalizzati.
• Se esegui il downgrade al livello Security Command Center Standard, le autorizzazioni IAM correlate ai controlli cloud personalizzati diventano inefficaci. Non devi revocarle manualmente.

Impatto sulle funzionalità di audit

Le funzionalità di audit sono esclusive dei livelli Security Command Center Premium ed Enterprise.

I report di audit e le prove nei bucket Cloud Storage sono gestiti dalle regole di gestione del ciclo di vita degli oggetti, non dalle policy di conservazione di Security Command Center.

Esegui di nuovo l'upgrade ai livelli di servizio Security Command Center Premium ed Enterprise

Quando torni ai livelli di servizio Security Command Center Premium ed Enterprise, le funzionalità avanzate vengono ripristinate. L'upgrade ha i seguenti effetti sui deployment:

• I controlli personalizzati inattivi tornano a essere disponibili.
• I deployment di framework rimossi durante il downgrade non sono recuperabili. Devi eseguire di nuovo il deployment dei framework manualmente.

Passaggi successivi

• Configura i ruoli IAM per gli utenti di conformità users.
• Configura il supporto per i Controlli di servizio VPC.
• Gestisci un framework.
• Configura Data Security Posture Management.
• Configura Protezione AI.