啟用 Compliance Manager,以便將架構套用至Google Cloud 機構或專案。
事前準備
啟用 Compliance Manager 前,請先完成下列工作。
如要取得啟用 Compliance Manager 所需的權限,請要求管理員授予您下列 IAM 角色:
-
為機構啟用:
- 機構的機構政策管理員 (
roles/orgpolicy.policyAdmin) - 機構的安全中心管理員編輯者 (
roles/securitycenter.adminEditor)
- 機構的機構政策管理員 (
-
為專案啟用:
- 專案的專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) - 專案的安全中心管理員 (
roles/securitycenter.admin)
- 專案的專案 IAM 管理員 (
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
啟用 Compliance Manager
如要在機構或專案層級啟動 Compliance Manager,請完成下列步驟:
- 使用下列任一方法啟用 Compliance Manager:
如要進一步瞭解 Security Command Center 方案,請參閱「Security Command Center 服務方案」。Compliance Manager 不支援客戶自行管理的加密金鑰 (CMEK)。啟用 Compliance Manager 時,系統也會啟用下列服務:情境 操作說明 您尚未啟用 Security Command Center,但想使用 Security Command Center 標準方案。 如要啟用 Compliance Manager,請啟用 Security Command Center Standard。 如果新機構啟用 Standard 級別,系統會自動啟用 Compliance Manager。
您目前使用的是 Security Command Center Standard 級。 您無須採取行動,
系統會透過後端升級啟用 Compliance Manager。詳情請參閱「遷移及啟用標準級」。您尚未啟用 Security Command Center,但想使用 Security Command Center Premium 級別。 如要啟用 Compliance Manager,請啟用 Security Command Center Premium。 您尚未啟用 Security Command Center,但想使用 Security Command Center Enterprise 方案。 啟用 Security Command Center Enterprise,即可啟用 Compliance Manager。 您先前已啟用 Security Command Center Premium 級別,現在想啟用 Compliance Manager。 使用「設定」頁面啟用 Compliance Manager。 您先前已啟用 Security Command Center Enterprise 級別,現在想啟用 Compliance Manager。 使用「啟用 Compliance Manager」頁面啟用 Compliance Manager。 您先前已啟用任何 Security Command Center 服務層級,現在想為單一專案啟用 Compliance Manager。 選取專案範圍,然後使用「設定」頁面啟用 Compliance Manager。
- (僅限 Premium 和 Enterprise 方案) Sensitive Data Protection 使用資料機密程度信號進行預設資料風險評估。
- (僅限進階和企業方案) 組織層級的 Event Threat Detection (Security Command Center 的一部分)。
- Data Security Posture Management,適用於資料安全性框架。
(僅限 Premium 和 Enterprise 方案) AI 保護,適用於 AI 安全架構。
啟用法規遵循管理員時,系統會建立 Cloud Security Compliance 服務代理。視啟用範圍而定,Compliance Manager 會使用機構層級 (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) 或專案層級 (service-PROJECT_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com) 的服務代理存取資源。
如果是 Security Command Center Standard,系統會自動將 Security Essentials 架構套用至機構。
如果是 Security Command Center Premium,系統不會自動將架構套用至機構。
對於 Security Command Center Enterprise,系統會自動將下列架構套用至組織:
- Google 建議的 AI 基礎功能 - Vertex AI
- 資料安全與隱私權基本概念
在 Compliance Manager 中管理服務層級
Compliance Manager 功能會因 Security Command Center 服務級別而異。標準級會透過Security Essentials架構提供安全基準。進階版和企業版方案提供進階功能,例如內建規範架構、稽核功能和自訂雲端控制項。
降級至 Security Command Center Standard 服務層級
如果將機構或專案降級至 Standard 方案,您將無法再使用內建法規架構、稽核功能和自訂雲端控制項等進階功能。降級前請先瞭解影響,因為部分資料可能會永久遺失或變更。
對架構和部署作業的影響
降級至 Security Command Center Standard 時,架構和部署作業會發生下列變化:
對發現項目的影響
降級至 Security Command Center Standard 後,系統會對調查結果進行下列變更:
- 系統會將與不支援架構相關聯的發現項目標示為無效。
- 您有七天的時間可以唯讀存取停用的發現項目,之後這些項目就會過期,無法再存取。
對自訂雲端控管機制的影響
降級至 Security Command Center Standard 時,自訂雲端控制項會發生下列變更:
- 您無法建立或管理自訂雲端控管機制。
- 自訂雲端控管機制會保留,但會變成無效且無法使用。系統會自動移除含有自訂雲端控制項的任何有效架構部署作業。
- 如果降級為 Security Command Center Standard 方案,與自訂雲端控制項相關的 IAM 權限就會失效。您不必手動撤銷。
對稽核功能的影響
稽核功能僅適用於 Security Command Center Premium 和 Enterprise 方案。
Cloud Storage 值區中的稽核報告和證據是由物件生命週期管理規則管理,而非 Security Command Center 保留政策。
再次升級至 Security Command Center Premium 或 Enterprise 服務層級
返回 Security Command Center Premium 或 Enterprise 服務層級時,系統會還原進階功能。升級作業會對部署作業產生下列影響:
- 停用的自訂控制項會再次啟用。
- 降級期間移除的架構部署作業無法復原。您必須手動重新部署架構。
後續步驟
- 為法規遵循使用者設定 IAM 角色。
- 設定 VPC Service Controls 支援功能。
- 管理架構。
- 設定 Data Security Posture Management。
- 設定 AI 保護。