Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Gestire i controlli cloud

Compliance Manager include molti controlli cloud integrati che puoi aggiungere ai framework ed eseguire il deployment nel tuo ambiente. Se necessario, puoi creare e gestire i tuoi controlli cloud personalizzati e aggiornare quelli integrati.

Prima di iniziare

Completa queste attività prima di completare le attività rimanenti in questa pagina.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per gestire i framework di controlli cloud, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione o nel tuo progetto:
- Amministratore Compliance Manager (roles/cloudsecuritycompliance.admin)
- Per creare o modificare controlli cloud basati su policy dell'organizzazione, una delle seguenti opzioni:
  - Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin)
  - Amministratore di Assured Workloads (roles/assuredworkloads.admin)
  - Assured Workloads Editor (roles/assuredworkloads.editor)
- Per creare o modificare i controlli cloud basati sulle policy del progetto: Project IAM Admin (roles/resourcemanager.projectIamAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Configura Google Cloud CLI

Nella console Google Cloud , attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.

Per configurare gcloud CLI in modo che utilizzi la simulazione dell'identità dei service account per l'autenticazione alle API di Google, anziché le tue credenziali utente, esegui questo comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per saperne di più, consulta Simulazione dell'identità dei service account.

Visualizzare i controlli cloud

Completa i seguenti passaggi per visualizzare i controlli cloud integrati e quelli personalizzati che hai già creato.

Console

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione o il tuo progetto.
Nella scheda Configura, fai clic su Controlli cloud. Vengono visualizzati i controlli cloud disponibili.

La dashboard include informazioni sui framework che includono il controllo cloud e il numero di risorse (organizzazione, cartelle e progetti) a cui viene applicato il controllo cloud.
Per visualizzare i dettagli di un controllo cloud, fai clic sul nome del controllo.

Interfaccia a riga di comando

Puoi visualizzare informazioni su un controllo cloud specifico o elencare tutti i controlli cloud della tua organizzazione.

Visualizzare i dettagli di un controllo cloud

Per visualizzare i dettagli di un controllo cloud specifico, esegui il comando gcloud compliance-manager cloud-controls describe:

gcloud compliance-manager cloud-controls describe CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--major-revision-id=MAJOR_REVISION_ID]

Sostituisci i seguenti valori:

CLOUD_CONTROL: il nome del controllo cloud
ORGANIZATION: l'ID organizzazione
LOCATION: la regione in cui è archiviato il controllo cloud
MAJOR_REVISION_ID è un flag facoltativo che specifica la versione del controllo cloud da visualizzare. Se non includi il flag, viene restituita l'ultima versione.

Ad esempio, per visualizzare un controllo cloud con il nome builtin-block-external-ip-addresses-for-vm-access e il numero di revisione principale 1, esegui il seguente comando:

gcloud compliance-manager cloud-controls describe \
   builtin-block-external-ip-addresses-for-vm-access \
   --organization=3589215982 \
   --location=global \
   --major-revision-id=1

Per saperne di più, consulta gcloud compliance-manager cloud-controls describe.

Recuperare l'elenco dei controlli cloud

Per ottenere l'elenco dei controlli cloud nella tua organizzazione, esegui il comando gcloud compliance-manager cloud-controls list:

gcloud compliance-manager cloud-controls list \
   --location=LOCATION \
   --organization=ORGANIZATION

Sostituisci i seguenti valori:

ORGANIZATION: l'ID organizzazione
LOCATION: la regione in cui sono archiviati i controlli cloud

Ad esempio, per visualizzare tutti i controlli cloud all'interno dell'organizzazione 3589215982 e memorizzati nella località globale, esegui questo comando:

gcloud compliance-manager cloud-controls list \
   --organization=3589215982 \
   --location=global

Per informazioni sui flag facoltativi, consulta gcloud compliance-manager cloud-controls list.

Crea un controllo cloud personalizzato

Quando crei un controllo cloud personalizzato, applichi una regola a qualsiasi tipo di risorsa di Cloud Asset Inventory.

Console

Quando utilizzi la console, puoi creare controlli cloud personalizzati con una regola che si applica a un tipo di risorsa.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione o il tuo progetto.
Nella scheda Configura, fai clic su Controlli cloud. Viene visualizzato l'elenco dei controlli cloud disponibili.
Crea un controllo cloud, con Gemini o manualmente:

Usa Gemini

Chiedi a Gemini di generare un controllo cloud per te. In base al tuo prompt, Gemini fornisce un identificatore univoco, un nome, una logica di rilevamento associata e possibili passaggi di correzione.
Esamina i consigli e apporta le modifiche necessarie.
Salva il controllo cloud personalizzato.

Crea manualmente

In ID controllo cloud, fornisci un identificatore univoco per il controllo.
Inserisci un nome e una descrizione per aiutare gli utenti della tua organizzazione a comprendere lo scopo del controllo cloud personalizzato.
(Facoltativo) Seleziona le categorie per il controllo. Fai clic su Continua.
Seleziona un tipo di risorsa disponibile per il controllo cloud personalizzato. Compliance Manager supporta tutti i tipi di risorse. Per trovare il nome di una risorsa, consulta Tipi di asset.
Fornisci la logica di rilevamento per il controllo cloud in formato Common Expression Language (CEL).

Le espressioni CEL ti consentono di definire come valutare le proprietà di una risorsa. Per ulteriori informazioni ed esempi, vedi Scrivere regole per i controlli cloud personalizzati. Fai clic su Continua.

Se la regola di valutazione non è valida, viene visualizzato un errore.
Seleziona una gravità appropriata per i risultati.
Scrivi le istruzioni di correzione in modo che i responsabili della risposta agli incidenti e gli amministratori della tua organizzazione possano risolvere i problemi rilevati per il controllo cloud. Fai clic su Continua.
Esamina le voci e fai clic su Crea.

Interfaccia a riga di comando

Quando utilizzi gcloud CLI, puoi creare un controllo cloud personalizzato con un massimo di tre regole. Ogni regola può essere applicata a un solo tipo di risorsa.

Per creare un controllo cloud personalizzato, esegui il comando gcloud compliance-manager cloud-controls create:

gcloud compliance-manager cloud-controls create CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--display-name=DISPLAY_NAME] \
   [--description=DESCRIPTION] \
   [--categories=[CATEGORIES,...]] \
   [--finding-category=FINDING_CATEGORY] \
   [--parameter-spec=[defaultValue=DEFAULTVALUE],[description=DESCRIPTION],[displayName=DISPLAYNAME],[isRequired=ISREQUIRED],[name=NAME],[substitutionRules=SUBSTITUTIONRULES],[validation=VALIDATION],[valueType=VALUETYPE]] \
   [--remediation-steps=REMEDIATION_STEPS] \
   [--rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES]] \
   [--severity=SEVERITY] \
   [--supported-cloud-providers=[SUPPORTED_CLOUD_PROVIDERS,…]] \
   [--supported-target-resource-types=[SUPPORTED_TARGET_RESOURCE_TYPES,…]]

Sostituisci i seguenti valori:

CLOUD_CONTROL: un nome alfanumerico univoco per il controllo cloud
ORGANIZATION: l'ID organizzazione
LOCATION: la regione in cui è archiviato il controllo cloud
DISPLAY_NAME: un nome leggibile da una persona per il controllo cloud
DESCRIPTION: una descrizione facoltativa dello scopo del controllo cloud
CATEGORIES,…: un parametro facoltativo che definisce le categorie di cui fa parte il controllo cloud. Per un elenco delle categorie consentite, vedi gcloud compliance-manager cloud-controls create.
FINDING_CATEGORY: il valore visualizzato nella dashboard dei risultati di Security Command Center quando il controllo cloud genera un risultato
```
--parameter-spec=[defaultValue=DEFAULTVALUE], \
 [description=DESCRIPTION], \
 [displayName= DISPLAYNAME], \
 [isRequired=ISREQUIRED], \
 [name=NAME], \
 [substitutionRules=SUBSTITUTIONRULES], \
 [validation=VALIDATION], \
 [valueType=VALUETYPE]...]
```
sono le informazioni sui parametri facoltativi per il controllo cloud, nel seguente formato:
- DEFAULTVALUE: i dati applicati se un utente non personalizza il parametro durante il deployment di un framework. I tipi di valori supportati sono boolValue, numberValue, stringListValue o stringValue.
- DESCRIPTION: una descrizione facoltativa del controllo
- ISREQUIRED: true se il controllo richiede l'impostazione di un parametro
- NAME: il nome del parametro
- SUBSTITUTIONRULES: come e dove Compliance Manager inserisce il valore personalizzato per il parametro. Specifica il percorso di destinazione all'interno della regola utilizzando una notazione con punti proto (ad esempio, rules[0].org_policy_constraint...). Scegli una delle seguenti opzioni:
  - attributeSubstitutionRule quando vuoi inserire il valore del parametro direttamente in un campo strutturale della regola (ad esempio, compilando un elenco di valori limitati all'interno di un modello di regola di vincolo della policy dell'organizzazione).
  - placeholderSubstitutionRule quando la regola utilizza una stringa di testo (o un'espressione CEL). La stringa deve contenere una variabile segnaposto con il prefisso $ (ad esempio, $deniedServices) e questa regola indica al compilatore di mappare il parametro a quel segnaposto.
  L'esempio seguente crea un parametro di elenco denominato deniedServices con il tipo STRINGLIST. Utilizza attributeSubstitutionRule per aggiungere nomi di servizi forniti dall'utente (ad esempio compute.googleapis.com) direttamente in una regola di policy dell'organizzazione personalizzata strutturale (denied_values) al momento del deployment:
```
--parameter-spec='name=deniedServices,isRequired=true,valueType=STRINGLIST,substitutionRules=[{attributeSubstitutionRule={attribute="rules[0].org_policy_constraint.policy_rules[0].values.denied_values"}}]'
```
- VALIDATION è l'insieme di valori consentiti. Scegli una delle seguenti opzioni:
  - Utilizza allowedValues per applicare una lista consentita statica, ad esempio, limita i parametri di posizione a campi stringa specifici: validation={allowedValues={values=[{stringValue=us-central1},{stringValue=us-west1}]}}
  - Utilizza intRange per applicare limiti numerici agli interi, ad esempio imposta un periodo di conservazione compreso tra 1 e 365: validation={intRange={min=1,max=365}}
  - Utilizza regexpPattern per applicare la corrispondenza delle espressioni regolari al testo della stringa, ad esempio per richiedere una denominazione alfanumerica rigorosa: validation={regexpPattern={pattern="^[a-z][-a-z0-9]*$"}}
- VALUETYPE: il tipo o il formato di dati del valore che un utente fornisce per questo parametro. I tipi di valori supportati sono STRING, BOOLEAN, STRINGLIST, NUMBER e ONEOF.
In alternativa, puoi specificare un file JSON o YAML che definisce i parametri. Ad esempio, --parameter-spec=path_to_file.(yaml|json). Espandi la sezione seguente per visualizzare i file JSON e YAML di esempio.
Esempio di file JSON
```
  [
    {
      "name": "deniedServices",
      "displayName": "Services Requiring CMEK",
      "description": "List of service names that must use Customer-Managed Encryption Keys.",
      "isRequired": true,
      "valueType": "STRINGLIST",
      "substitutionRules": [
        {
          "attributeSubstitutionRule": {
            "attribute": "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"
          }
        }
      ]
    }
  ]
      
```
File YAML di esempio
```
  - name: deniedServices
    displayName: "Services Requiring CMEK"
    description: "List of service names that must use Customer-Managed Encryption Keys."
    isRequired: true
    valueType: STRINGLIST
    substitutionRules:
    - attributeSubstitutionRule:
        attribute: "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"
      
```
REMEDIATION_STEPS: i passaggi necessari per risolvere eventuali risultati. Questa stringa è limitata a 400 caratteri.

--rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES] è la regola che vuoi applicare, nel seguente formato:

CELEXPRESSION: l'espressione Common Expression Language (CEL) della regola. Per informazioni sulla scrittura di espressioni CEL, consulta Scrivere regole per i controlli cloud personalizzati. Includi quanto segue:
- expression: l'espressione CEL, con un massimo di 1000 caratteri
- resourceTypesValues: il nome delle risorse, nel formato SERVICE_NAME/type. Utilizza un array values per elencare tutti i tipi di risorse a cui vuoi applicare la regola, ad esempio values=[compute.googleapis.com/Instance].
DESCRIPTION: una descrizione della regola
RULEACTIONTYPES: l'azione eseguita dalla regola. I valori supportati sono rule-action-type-detective, rule-action-type-preventive e rule-action-type-audit.

Ad esempio, per controllare il periodo di rotazione della chiave di Cloud Key Management Service, inserisci quanto segue:

--rules="[
  {
    \"celExpression\": {
      \"expression\": \"has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')\",
      \"resourceTypesValues\": {
        \"values\": [
          \"cloudkms.googleapis.com/CryptoKey\"
        ]
      }
    },
    \"description\": \"Check KMS key rotation period\",
    \"ruleActionTypes\": [
      \"rule-action-type-detective\"
    ]
  }
]"

In alternativa, puoi specificare un file JSON o YAML che definisce la regola. Ad esempio, --rules=path_to_file.(yaml|json). Espandi la sezione seguente per visualizzare file JSON e YAML di esempio.

Esempio di file JSON

  [
    {
      "celExpression": {
        "expression": "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')",
        "resourceTypesValues": {
          "values": [
            "cloudkms.googleapis.com/CryptoKey"
          ]
        }
      },
      "description": "Check KMS key rotation period to ensure it is under 60 hours.",
      "ruleActionTypes": [
        "rule-action-type-detective"
      ]
    }
  ]

File YAML di esempio

  - celExpression:
      expression: "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')"
      resourceTypesValues:
        values:
        - cloudkms.googleapis.com/CryptoKey
    description: "Check KMS key rotation period to ensure it is under 60 hours."
    ruleActionTypes:
    - rule-action-type-detective

SEVERITY: il livello di criticità per il controllo cloud. I valori supportati sono critical, high, medium e low.
SUPPORTED_CLOUD_PROVIDERS,…: i provider cloud a cui si applica questo controllo cloud. L'unico valore supportato è gcp.
SUPPORTED_TARGET_RESOURCE_TYPES,…: i tipi di risorse (organizzazione, cartella, progetto o cartella app in App Hub) supportati dal controllo cloud. I valori supportati sono target-resource-crm-type-folder, target-resource-crm-type-org, target-resource-crm-type-project e target-resource-type-application.

Ad esempio, per creare un controllo cloud che applichi le località delle risorse, esegui il seguente comando:

  gcloud compliance-manager cloud-controls create \
     restrict-resource-locations \
     --organization=3589215982 \
     --location=global \
     --display-name="Restrict Resource Locations" \
     --description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
     --severity=high \
     --finding-category="LOCATION_VIOLATION" \
     --supported-cloud-providers="gcp" \
     --supported-target-resource-types="target-resource-crm-type-project" \
     --parameter-spec='name=allowedLocations,isRequired=true,valueType=STRINGLIST,substitutionRules=[{placeholderSubstitutionRule={attribute="rules[0].cel_expression.expression"}}]' \
     --rules="[{\"celExpression\": {\"expression\": \"resource.location in \$allowedLocations\", \"resourceTypesValues\": {\"values\": [\"compute.googleapis.com/Instance\"]}}, \"description\": \"Check Compute Engine instance locations\", \"ruleActionTypes\": [\"rule-action-type-detective\"]}]"

Per creare lo stesso controllo, ma utilizzare i file YAML per definire i parametri e le regole, esegui:

     gcloud compliance-manager cloud-controls create \
     restrict-resource-locations \
     --organization=3589215982 \
     --location=global \
     --display-name="Restrict Resource Locations" \
     --description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
     --severity=high \
     --finding-category="LOCATION_VIOLATION" \
     --supported-cloud-providers="gcp" \
     --supported-target-resource-types="target-resource-crm-type-project" \
     --parameter-spec=parameters.yaml \
     --rules=rules.yaml

Per saperne di più, vedi gcloud compliance-manager cloud-controls create.

Terraform

Quando utilizzi Terraform, puoi creare un controllo cloud personalizzato con un massimo di tre regole. Ogni regola può essere applicata a un solo tipo di risorsa.

Il seguente esempio mostra come creare un controllo cloud personalizzato utilizzando Terraform.

resource "google_cloud_security_compliance_cloud_control" "example" {
  organization        = "123456789"
  location            = "global"
  cloud_control_id    = "example-cloudcontrol"

  display_name      = "TF test CloudControl Name"
  description       = "A test cloud control for security compliance"
  categories        = ["CC_CATEGORY_INFRASTRUCTURE"]
  severity          = "HIGH"
  finding_category  = "SECURITY_POLICY"
  remediation_steps = "Review and update the security configuration according to best practices."

  supported_cloud_providers        = ["GCP"]

  rules {
    description         = "Ensure compute instances have secure boot enabled"
    rule_action_types   = ["RULE_ACTION_TYPE_DETECTIVE"]

    cel_expression {
      expression = "resource.data.shieldedInstanceConfig.enableSecureBoot == true"
      resource_types_values {
        values = ["compute.googleapis.com/Instance"]
      }
    }
  }

  parameter_spec {
    name         = "location"
    display_name = "Resource Location"
    description  = "The location where the resource should be deployed"
    value_type   = "STRING"
    is_required  = true

    default_value {
      string_value = "us-central1"
    }

    validation {
      regexp_pattern {
        pattern = "^[a-z]+-[a-z]+[0-9]$"
      }
    }
  }

  parameter_spec {
    name         = "enable_secure_boot"
    display_name = "Enable Secure Boot"
    description  = "Whether to enable secure boot for instances"
    value_type   = "BOOLEAN"
    is_required  = true

    default_value {
      bool_value = true
    }

    substitution_rules {
      attribute_substitution_rule {
        attribute = "rules[0].cel_expression.expression"
      }
    }

    validation {
      allowed_values {
        values {
          bool_value = true
        }
      }
    }
  }

  parameter_spec {
    name         = "max_instances"
    display_name = "Maximum Instances"
    description  = "Maximum number of instances allowed"
    value_type   = "NUMBER"
    is_required  = false

    default_value {
      number_value = 10
    }

    substitution_rules {
      placeholder_substitution_rule {
        attribute = "rules[0].description"
      }
    }

    validation {
      int_range {
        min = "1"
        max = "100"
      }
    }
  }

  parameter_spec {
    name         = "allowed_regions"
    display_name = "Allowed Regions"
    description  = "List of regions where resources can be deployed"
    value_type   = "STRINGLIST"
    is_required  = true

    default_value {
      string_list_value {
        values = ["us-central1", "us-east1", "us-west1"]
      }
    }

    validation {
      allowed_values {
        values {
          string_list_value {
            values = ["us-central1", "us-east1"]
          }
        }
        values {
          string_list_value {
            values = ["us-west1", "us-west2"]
          }
        }
      }
    }
  }

  parameter_spec {
    name         = "environment_type"
    display_name = "Environment Type"
    description  = "The type of environment"
    value_type   = "STRING"
    is_required  = true

    default_value {
      string_value = "production"
    }

    validation {
      allowed_values {
        values {
          string_value = "production"
        }
        values {
          string_value = "staging"
        }
        values {
          number_value = 1
        }
      }
    }
  }
}

Modificare un controllo cloud personalizzato

Dopo aver creato un controllo cloud, puoi modificarne il nome, la descrizione, le regole, i passaggi di correzione e il livello di gravità. Non puoi modificare la categoria del controllo cloud.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione o il tuo progetto.
Nella scheda Configura, fai clic su Controlli cloud. Viene visualizzato l'elenco dei controlli cloud disponibili.
Fai clic sul controllo cloud che vuoi modificare.
Nella pagina Dettagli dei controlli cloud, verifica che il controllo cloud non sia incluso in un framework. Se necessario, modifica il framework per rimuovere il controllo cloud.
Fai clic su Modifica.
Nella pagina Modifica controllo cloud personalizzato, modifica il nome e la descrizione in base alle tue esigenze. Fai clic su Continua.
Aggiorna le regole, la gravità del risultato e i passaggi di correzione. Fai clic su Continua.
Rivedi le modifiche e fai clic su Salva.

Aggiorna un controllo cloud integrato a una release più recente

Google pubblica aggiornamenti regolari dei suoi controlli cloud integrati man mano che i servizi implementano nuove funzionalità o emergono nuove best practice. Gli aggiornamenti possono includere nuovi controlli o modifiche a quelli esistenti.

Puoi visualizzare le release dei controlli cloud integrati nella dashboard dei controlli cloud nella scheda Configura o nella pagina dei dettagli del controllo cloud.

Google ti informa nelle note di rilascio quando vengono aggiornati i seguenti elementi:

Nome controllo cloud
Categoria risultati
Modifica della logica di rilevamento o preventiva in una regola
Logica sottostante di una regola

Per aggiornare un controllo cloud dopo aver ricevuto una notifica, devi annullare l'assegnazione e rieseguire il deployment dei framework che includono il controllo cloud. Per istruzioni, vedi Aggiornare un framework a una versione più recente.

Eliminare un controllo cloud personalizzato

Elimina un controllo cloud quando non è più necessario. Puoi eliminare solo i controlli cloud che crei. Non puoi eliminare i controlli cloud integrati.

Console

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione o il tuo progetto.
Nella scheda Configura, fai clic su Controlli cloud. Viene visualizzato l'elenco dei controlli cloud disponibili.
Fai clic sul controllo cloud che vuoi eliminare.
Nella pagina Dettagli dei controlli cloud, verifica che il controllo cloud non sia incluso in un framework. Se necessario, modifica il framework per rimuovere il controllo cloud.
Fai clic su Elimina.
Nella finestra Elimina, esamina il messaggio. Digita Delete e fai clic su Conferma.

Interfaccia a riga di comando

Per eliminare un controllo cloud personalizzato, esegui il comando gcloud compliance-manager cloud-controls delete:

gcloud compliance-manager cloud-controls delete CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION

Sostituisci i seguenti valori:

CLOUD_CONTROL: il nome del controllo cloud
ORGANIZATION: l'ID organizzazione
LOCATION: la regione in cui è archiviato il controllo cloud

Ad esempio, per eliminare un controllo cloud con il nome restrict-resource-locations, esegui questo comando:

gcloud compliance-manager cloud-controls delete \
   restrict-resource-locations \
   --organization=3589215982 \
   --location=global

Per saperne di più, consulta gcloud compliance-manager cloud-controls delete.

Mappatura dei rilevatori di Security Health Analytics ai controlli cloud

La tabella seguente mostra come i controlli cloud di Compliance Manager vengono mappati ai rilevatori di Security Health Analytics.

Categoria del risultato in Security Health Analytics	Nome del controllo cloud in Compliance Manager
`ACCESS_TRANSPARENCY_DISABLED`	Attiva Access Transparency
`ADMIN_SERVICE_ACCOUNT`	Bloccare i ruoli amministratore dagli account di servizio
`ALLOWED_INGRESS_ORG_POLICY`	Configura il vincolo Impostazioni di traffico in entrata consentite per la policy dell'organizzazione Cloud Run
`ALLOWED_VPC_EGRESS_ORG_POLICY`	Configura il vincolo dei criteri dell'organizzazione per le impostazioni di traffico VPC in uscita consentite per Cloud Run
`ALLOYDB_AUTO_BACKUP_DISABLED`	Abilita i backup automatici di AlloyDB sul cluster
`ALLOYDB_BACKUPS_DISABLED`	Abilita i backup di AlloyDB sul cluster
`ALLOYDB_CMEK_DISABLED`	Abilita CMEK per i cluster AlloyDB
`ALLOYDB_LOG_ERROR_VERBOSITY`	Imposta il flag di livello di dettaglio degli errori di log per le istanze AlloyDB
`ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Imposta il flag di istruzione di errore minimo di log per le istanze AlloyDB
`ALLOYDB_LOG_MIN_MESSAGES`	Imposta il flag Livello minimo messaggi di log per le istanze AlloyDB
`ALLOYDB_PUBLIC_IP`	Blocca gli indirizzi IP pubblici per le istanze del cluster AlloyDB
`ALPHA_CLUSTER_ENABLED`	Disabilita le funzionalità alpha sui cluster GKE
`API_KEY_APPS_UNRESTRICTED`	Limita le chiavi API solo alle API richieste
`API_KEY_EXISTS`	Non disponibile
`API_KEY_NOT_ROTATED`	Richiedi rotazione della chiave API
`AUDIT_CONFIG_NOT_MONITORED`	Configura metriche di log e avvisi per le modifiche all'audit logging
`AUDIT_LOGGING_DISABLED`	Implementare la registrazione degli eventi per i servizi Google Cloud
`AUTO_BACKUP_DISABLED`	Abilitare i backup automatici per i database Cloud SQL
`AUTO_REPAIR_DISABLED`	Abilita la riparazione automatica per i cluster GKE
`AUTO_UPGRADE_DISABLED`	Attivare l'upgrade automatico sui cluster GKE
`BIGQUERY_TABLE_CMEK_DISABLED`	Abilita CMEK per le tabelle BigQuery
`BINARY_AUTHORIZATION_DISABLED`	Richiedere l'autorizzazione binaria su un cluster
`BUCKET_CMEK_DISABLED`	Abilita CMEK per i bucket Cloud Storage
`BUCKET_IAM_NOT_MONITORED`	Configura metriche di log e avvisi per le modifiche ai criteri IAM di Cloud Storage
`BUCKET_LOGGING_DISABLED`	Richiedi il logging del bucket Cloud Storage
`BUCKET_POLICY_ONLY_DISABLED`	Abilita l'accesso uniforme a livello di bucket nei bucket Cloud Storage
`CLOUD_ASSET_API_DISABLED`	Attiva il servizio Cloud Asset Inventory
`CLUSTER_LOGGING_DISABLED`	Abilita Cloud Logging sui cluster GKE
`CLUSTER_MONITORING_DISABLED`	Abilita Cloud Monitoring sui cluster GKE
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Abilitare l'accesso privato Google su un'istanza
`CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Abilita la crittografia sui cluster GKE
`CLUSTER_SHIELDED_NODES_DISABLED`	Abilitare Shielded GKE Nodes su un cluster
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Blocca le chiavi SSH a livello di progetto sulle istanze Compute Engine
`COMPUTE_SECURE_BOOT_DISABLED`	Abilitare l'avvio protetto sulle istanze Compute Engine
`COMPUTE_SERIAL_PORTS_ENABLED`	Blocca le porte seriali per le istanze di Compute Engine
`CONFIDENTIAL_COMPUTING_DISABLED`	Abilita Confidential Computing per le istanze di Compute Engine
`COS_NOT_USED`	Richiedere Container-Optimized OS per un cluster GKE
`CUSTOM_ORG_POLICY_VIOLATION`	Non disponibile
`CUSTOM_ROLE_NOT_MONITORED`	Configurare metriche di log e avvisi per le modifiche ai ruoli personalizzati
`DATAPROC_CMEK_DISABLED`	Richiedere CMEK sui cluster Dataproc
`DATAPROC_IMAGE_OUTDATED`	Utilizzare le versioni immagine più recenti sui cluster Dataproc
`DATASET_CMEK_DISABLED`	Abilita CMEK per i set di dati BigQuery
`DEFAULT_NETWORK`	Utilizzare reti con regole firewall personalizzate
`DEFAULT_SERVICE_ACCOUNT_USED`	Utilizzare service account personalizzati per le istanze Compute Engine
`DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY`	Configura il criterio dell'organizzazione Disabilita l'utilizzo di IPv6 all'esterno di VPC
`DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY`	Configura il criterio dell'organizzazione Disabilita l'utilizzo di IPv6 all'esterno di VPC
`DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY`	Configura il criterio dell'organizzazione Disabilita il logging delle porte seriali delle VM in Stackdriver
`DISK_CMEK_DISABLED`	Abilitare CMEK sui dischi permanenti di Compute Engine
`DISK_CSEK_DISABLED`	Abilita le chiavi di crittografia fornite dal cliente sui dischi permanenti di Compute Engine
`DNS_LOGGING_DISABLED`	Abilita il monitoraggio dei log di Cloud DNS
`DNSSEC_DISABLED`	Attivare DNSSEC per Cloud DNS
`EGRESS_DENY_RULE_NOT_SET`	Applica la regola firewall in uscita Nega tutto
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Definisci i contatti fondamentali
`FIREWALL_NOT_MONITORED`	Configura le metriche di log e gli avvisi per le modifiche al firewall di rete VPC
`FIREWALL_RULE_LOGGING_DISABLED`	Abilita il logging delle regole firewall
`FLOW_LOGS_DISABLED`	Abilita i log di flusso per la subnet VPC
`FULL_API_ACCESS`	Limita l'accesso alle API Google Cloud per le istanze Compute Engine
`HTTP_LOAD_BALANCER`	Applica solo il traffico HTTPS
`INCORRECT_BQ4G_SERVICE_PERIMETER`	Definisci i perimetri di servizio nei Controlli di servizio VPC
`INSTANCE_OS_LOGIN_DISABLED`	Attiva OS Login
`INTEGRITY_MONITORING_DISABLED`	Abilita il monitoraggio dell'integrità sui cluster GKE
`INTRANODE_VISIBILITY_DISABLED`	Abilita la visibilità tra nodi per i cluster GKE
`IP_ALIAS_DISABLED`	Abilita l'intervallo IP alias per i cluster GKE
`IP_FORWARDING_ENABLED`	Impedisci l'inoltro IP sulle istanze Compute Engine
`KMS_KEY_NOT_ROTATED`	Definisci il periodo di rotazione per le chiavi Cloud KMS
`KMS_PROJECT_HAS_OWNER`	Non disponibile
`KMS_PUBLIC_KEY`	Non disponibile
`KMS_ROLE_SEPARATION`	Forza separazione dei compiti
`LEGACY_AUTHORIZATION_ENABLED`	Blocca l'autorizzazione legacy sui cluster GKE
`LEGACY_METADATA_ENABLED`	Disattiva gli endpoint del server di metadati legacy su Compute Engine
`LEGACY_NETWORK`	Non utilizzare reti precedenti
`LOAD_BALANCER_LOGGING_DISABLED`	Abilita il logging del bilanciatore del carico
`LOCKED_RETENTION_POLICY_NOT_SET`	Bloccare i criteri di conservazione del bucket di archiviazione
`LOG_NOT_EXPORTED`	Configura i sink di log
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Abilita le reti autorizzate del control plane sui cluster GKE
`MFA_NOT_ENFORCED`	Non disponibile
`NETWORK_NOT_MONITORED`	Configura le metriche di log e gli avvisi per le modifiche alla rete VPC
`NETWORK_POLICY_DISABLED`	Abilita il criterio di rete sui cluster GKE
`NODEPOOL_BOOT_CMEK_DISABLED`	Abilita CMEK sui dischi di avvio del node pool GKE
`NODEPOOL_SECURE_BOOT_DISABLED`	Abilita l'avvio protetto per Shielded GKE Nodes
`NON_ORG_IAM_MEMBER`	Non disponibile
`OBJECT_VERSIONING_DISABLED`	Abilitare il controllo delle versioni degli oggetti nei bucket
`OPEN_CASSANDRA_PORT`	Blocca le connessioni alle porte Cassandra da tutti gli indirizzi IP
`OPEN_CISCOSECURE_WEBSM_PORT`	Blocca le connessioni alle porte CiscoSecure/WebSM da tutti gli indirizzi IP
`OPEN_DIRECTORY_SERVICES_PORT`	Blocca le connessioni alle porte dei servizi di directory da tutti gli indirizzi IP
`OPEN_DNS_PORT`	Bloccare le connessioni alle porte DNS da tutti gli indirizzi IP
`OPEN_ELASTICSEARCH_PORT`	Blocca le connessioni alle porte Elasticsearch da tutti gli indirizzi IP
`OPEN_FIREWALL`	Non disponibile
`OPEN_FTP_PORT`	Bloccare le connessioni alle porte FTP da tutti gli indirizzi IP
`OPEN_GROUP_IAM_MEMBER`	Non disponibile
`OPEN_HTTP_PORT`	Bloccare le connessioni alle porte HTTP da tutti gli indirizzi IP
`OPEN_LDAP_PORT`	Bloccare le connessioni alle porte LDAP da tutti gli indirizzi IP
`OPEN_MEMCACHED_PORT`	Blocca le connessioni alle porte Memcached da tutti gli indirizzi IP
`OPEN_MONGODB_PORT`	Bloccare le connessioni alle porte MongoDB da tutti gli indirizzi IP
`OPEN_MYSQL_PORT`	Blocca le connessioni alle porte MySQL da tutti gli indirizzi IP
`OPEN_NETBIOS_PORT`	Bloccare le connessioni alle porte NetBIOS da tutti gli indirizzi IP
`OPEN_ORACLEDB_PORT`	Bloccare le connessioni alle porte del database Oracle da tutti gli indirizzi IP
`OPEN_POP3_PORT`	Blocca le connessioni alle porte del server POP3 da tutti gli indirizzi IP
`OPEN_POSTGRESQL_PORT`	Blocca le connessioni alle porte del server PostgreSQL da tutti gli indirizzi IP
`OPEN_RDP_PORT`	Blocca l'accesso alla porta RDP
`OPEN_REDIS_PORT`	Blocca le connessioni alle porte del server Redis da tutti gli indirizzi IP
`OPEN_SMTP_PORT`	Bloccare le connessioni alle porte del server SMTP da tutti gli indirizzi IP
`OPEN_SSH_PORT`	Bloccare l'accesso alla porta SSH
`OPEN_TELNET_PORT`	Bloccare le connessioni alle porte del server Telnet da tutti gli indirizzi IP
`ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Attiva il vincolo dei criteri dell'organizzazione Confidential VM
`OS_LOGIN_DISABLED`	Attiva OS Login per tutte le istanze a livello di progetto
`OVER_PRIVILEGED_ACCOUNT`	Utilizza service account con privilegi minimi per i cluster GKE
`OVER_PRIVILEGED_SCOPES`	Crea cluster GKE con ambiti di accesso al service account limitati
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Bloccare i ruoli amministratore dagli account di servizio
`OWNER_NOT_MONITORED`	Non disponibile
`POD_SECURITY_POLICY_DISABLED`	Non disponibile
`PRIMITIVE_ROLES_USED`	Limita i ruoli IAM legacy
`PRIVATE_CLUSTER_DISABLED`	Abilita i cluster privati per GKE
`PRIVATE_GOOGLE_ACCESS_DISABLED`	Abilitare l'accesso privato Google per le subnet VPC
`PUBLIC_BUCKET_ACL`	Limitare l'accesso pubblico ai bucket Cloud Storage
`PUBLIC_COMPUTE_IMAGE`	Limitare l'accesso pubblico alle immagini Compute
`PUBLIC_DATASET`	Limitare l'accesso pubblico ai set di dati BigQuery
`PUBLIC_IP_ADDRESS`	Limita gli indirizzi IP pubblici alle istanze Compute Engine
`PUBLIC_LOG_BUCKET`	Limitare l'accesso pubblico ai bucket Cloud Storage
`PUBLIC_SQL_INSTANCE`	Limitare l'accesso pubblico alle istanze di database Cloud SQL
`PUBSUB_CMEK_DISABLED`	Criptare l'argomento Pub/Sub con CMEK
`QL_LOG_STATEMENT_STATS_ENABLED`	Abilita il flag Log Statement per PostgreSQL
`REDIS_ROLE_USED_ON_ORG`	Non disponibile
`RELEASE_CHANNEL_DISABLED`	Iscrivi un cluster GKE a un canale di rilascio
`REQUIRE_OS_LOGIN_ORG_POLICY`	Attiva OS Login
`REQUIRE_VPC_CONNECTOR_ORG_POLICY`	Definisci il traffico in uscita del connettore VPC per le funzioni Cloud Run
`RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY`	Abilita il vincolo del criterio dell'organizzazione Limita reti autorizzate nelle istanze Cloud SQL
`ROUTE_NOT_MONITORED`	Configura metriche di log e avvisi per le modifiche alle route VPC
`RSASHA1_FOR_SIGNING`	Evita RSASHA1 per la firma DNSSEC
`S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET`	Non disponibile
`S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS`	Non disponibile
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Richiedi la rotazione della chiave del service account
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Forza separazione dei compiti
`SHIELDED_VM_DISABLED`	Abilita Shielded VM per le istanze Compute Engine
`SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY`	Limita la creazione della rete predefinita per le istanze Compute Engine
`SQL_CMEK_DISABLED`	Abilita CMEK per i database Cloud SQL
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Disattiva il flag di autenticazione del database indipendente per SQL Server
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Disattiva il flag di concatenamento della proprietà tra database per SQL Server
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Disattiva il flag External Scripts per SQL Server
`SQL_INSTANCE_NOT_MONITORED`	Configura le metriche di log e gli avvisi per le modifiche alla configurazione di Cloud SQL
`SQL_LOCAL_INFILE`	Disattivare il flag local_infile per MySQL
`SQL_LOG_CHECKPOINTS_DISABLED`	Abilita il flag di checkpoint di log per PostgreSQL
`SQL_LOG_CONNECTIONS_DISABLED`	Abilita il flag Log Connections per PostgreSQL
`SQL_LOG_DISCONNECTIONS_DISABLED`	Abilita il flag Log Disconnections per PostgreSQL
`SQL_LOG_DURATION_DISABLED`	Abilita il flag di durata del log per l'istanza PostgreSQL
`SQL_LOG_ERROR_VERBOSITY`	Abilita il flag di verbosità degli errori di log per PostgreSQL
`SQL_LOG_EXECUTOR_STATS_ENABLED`	Disattiva il flag Statistiche dello strumento di esecuzione dei log per PostgreSQL
`SQL_LOG_HOSTNAME_ENABLED`	Disattivare il flag Nome host log per PostgreSQL
`SQL_LOG_LOCK_WAITS_DISABLED`	Abilita il flag di attesa dei blocchi dei log per l'istanza PostgreSQL
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Disattiva il flag Istruzione durata minima di log per PostgreSQL
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Abilitare il flag Istruzione di errore minimo di log per PostgreSQL
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Non disponibile
`SQL_LOG_MIN_MESSAGE`	Abilita il flag Log Min Messages per PostgreSQL
`SQL_LOG_PARSER_STATS_ENABLED`	Disattiva il flag Statistiche del parser di log per PostgreSQL
`SQL_LOG_PLANNER_STATS_ENABLED`	Disattiva il flag Statistiche dello strumento di pianificazione dei log per PostgreSQL
`SQL_LOG_STATEMENT`	Abilita il flag Log Statement per PostgreSQL
`SQL_LOG_TEMP_FILES`	Abilita il flag Log Temp Files per l'istanza PostgreSQL
`SQL_NO_ROOT_PASSWORD`	Non disponibile
`SQL_PUBLIC_IP`	Blocca gli indirizzi IP pubblici per le istanze Cloud SQL
`SQL_REMOTE_ACCESS_ENABLED`	Disattiva il flag di accesso remoto per SQL Server
`SQL_SCANNER`	Abilita la crittografia SSL sulle istanze AlloyDB
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Abilitare il flag di database Skip Show per MySQL
`SQL_TRACE_FLAG_3625`	Abilita il flag di database di traccia 3625 per SQL Server
`SQL_USER_CONNECTIONS_CONFIGURED`	Non utilizzare il flag user connections per SQL Server
`SQL_USER_OPTIONS_CONFIGURED`	Non utilizzare il flag user options per SQL Server
`SQL_WEAK_ROOT_PASSWORD`	Non disponibile
`SSL_NOT_ENFORCED`	Applica SSL per tutte le connessioni di database in entrata
`TOO_MANY_KMS_USERS`	Limita a tre gli utenti delle chiavi di crittografia KMS
`UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY`	Abilita l'accesso uniforme a livello di bucket nei bucket Cloud Storage
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Limita le chiavi service account gestite dall'utente
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Non disponibile
`WEAK_SSL_POLICY`	Limita le policy SSL non sicure per le istanze Compute Engine
`WEB_UI_ENABLED`	Non utilizzare la UI web di Kubernetes
`WORKLOAD_IDENTITY_DISABLED`	Abilita Workload Identity Federation for GKE sui cluster

Passaggi successivi

Scrivi regole per i controlli cloud personalizzati.

Gestire i controlli cloud Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Configurare le autorizzazioni

Configura Google Cloud CLI

Visualizzare i controlli cloud

Console

Interfaccia a riga di comando

Visualizzare i dettagli di un controllo cloud

Recuperare l'elenco dei controlli cloud

Crea un controllo cloud personalizzato

Console

Usa Gemini

Crea manualmente

Interfaccia a riga di comando

Esempio di file JSON

File YAML di esempio

Esempio di file JSON

File YAML di esempio

Terraform

Modificare un controllo cloud personalizzato

Aggiorna un controllo cloud integrato a una release più recente

Eliminare un controllo cloud personalizzato

Console

Interfaccia a riga di comando

Mappatura dei rilevatori di Security Health Analytics ai controlli cloud

Passaggi successivi

Gestire i controlli cloud