Gerenciar controles de nuvem

O Compliance Manager inclui muitos controles de nuvem integrados que podem ser adicionados a frameworks e implantados no seu ambiente. Se necessário, crie e gerencie seus próprios controles de nuvem personalizados e atualize os controles de nuvem integrados.

Antes de começar

Conclua essas tarefas antes de fazer as outras nesta página.

Configurar permissões

Configurar a Google Cloud CLI

No console do Google Cloud , ative o Cloud Shell.

Ativar o Cloud Shell

Na parte de baixo do console Google Cloud , uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

Para configurar a CLI gcloud para usar a identidade temporária de conta de serviço para autenticação nas APIs do Google, em vez de suas credenciais de usuário, execute o seguinte comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Saiba mais em Identidade temporária de conta de serviço.

Ver controles de nuvem

Siga estas etapas para conferir os controles de nuvem integrados e os controles de nuvem personalizados que você já criou.

Console

  1. No console do Google Cloud , acesse a página Compliance.

    Acesse "Compliance"

  2. Selecione a organização ou o projeto.

  3. Na guia Configurar, clique em Controles na nuvem. Os controles de nuvem disponíveis são mostrados.

    O painel inclui informações sobre quais frameworks incluem o controle de nuvem e o número de recursos (organização, pastas e projetos) em que ele é aplicado.

  4. Para ver detalhes sobre um controle de nuvem, clique no nome dele.

CLI

Você pode ver informações sobre um controle de nuvem específico ou listar todos os controles de nuvem na sua organização.

Ver detalhes sobre um controle de nuvem

Para conferir detalhes sobre um controle específico da nuvem, execute o comando gcloud compliance-manager cloud-controls describe:

gcloud compliance-manager cloud-controls describe CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--major-revision-id=MAJOR_REVISION_ID]

Substitua os seguintes valores:

  • CLOUD_CONTROL: o nome do controle de nuvem

  • ORGANIZATION: o ID da organização

  • LOCATION: a região em que o controle da nuvem está armazenado

  • MAJOR_REVISION_ID é uma flag opcional que especifica qual versão do controle na nuvem será mostrada. Se você não incluir a flag, a versão mais recente será retornada.

Por exemplo, para ver um controle de nuvem com o nome builtin-block-external-ip-addresses-for-vm-access e o número de revisão principal 1, execute o seguinte:

gcloud compliance-manager cloud-controls describe \
   builtin-block-external-ip-addresses-for-vm-access \
   --organization=3589215982 \
   --location=global \
   --major-revision-id=1

Para mais informações, consulte gcloud compliance-manager cloud-controls describe.

Receber lista de controles de nuvem

Para receber a lista de controles na nuvem da sua organização, execute o comando gcloud compliance-manager cloud-controls list:

gcloud compliance-manager cloud-controls list \
   --location=LOCATION \
   --organization=ORGANIZATION

Substitua os seguintes valores:

  • ORGANIZATION: o ID da organização

  • LOCATION: a região em que os controles da nuvem estão armazenados

Por exemplo, para ver todos os controles de nuvem na organização 3589215982 e armazenados no local global, execute o seguinte:

gcloud compliance-manager cloud-controls list \
   --organization=3589215982 \
   --location=global

Para informações sobre flags opcionais, consulte gcloud compliance-manager cloud-controls list.

Criar Cloud Control personalizado

Ao criar um controle de nuvem personalizado, você aplica uma regra a qualquer tipo de recurso do Inventário de recursos do Cloud.

Console

Ao usar o console, é possível criar controles personalizados com uma regra que se aplica a um tipo de recurso.

  1. No console do Google Cloud , acesse a página Compliance.

    Acesse "Compliance"

  2. Selecione a organização ou o projeto.

  3. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

  4. Crie um controle de nuvem com o Gemini ou manualmente:

Usar o Gemini

  1. Peça ao Gemini para gerar um controle de nuvem. Com base no seu comando, o Gemini fornece um identificador exclusivo, um nome, uma lógica de detecção associada e possíveis etapas de correção.

  2. Analise as recomendações e faça as mudanças necessárias.

  3. Salve o controle de nuvem personalizado.

Criar manualmente

  1. Em ID de controle do Cloud, forneça um identificador exclusivo para seu controle.

  2. Insira um nome e uma descrição para ajudar os usuários da sua organização a entender a finalidade do controle de nuvem personalizado.

  3. Opcional: selecione as categorias do controle. Clique em Continuar.

  4. Selecione um tipo de recurso disponível para seu controle personalizado na nuvem. O Compliance Manager é compatível com todos os tipos de recursos. Para encontrar o nome de um recurso, consulte Tipos de recursos.

  5. Forneça a lógica de detecção para seu controle de nuvem no formato Common Expression Language (CEL).

    Com as expressões CEL, você define como quer avaliar as propriedades de um recurso. Para mais informações e exemplos, consulte Escrever regras para controles de nuvem personalizados. Clique em Continuar.

    Se a regra de avaliação não for válida, um erro será exibido.

  6. Selecione uma gravidade de descoberta adequada.

  7. Escreva instruções de correção para que os responsáveis pela resposta a incidentes e os administradores da sua organização possam resolver qualquer descoberta para o controle da nuvem. Clique em Continuar.

  8. Revise as entradas e clique em Criar.

CLI

Ao usar a CLI gcloud, é possível criar um controle de nuvem personalizado com no máximo três regras. Cada regra pode ser aplicada a apenas um tipo de recurso.

Para criar um controle de nuvem personalizado, execute o comando gcloud compliance-manager cloud-controls create:

gcloud compliance-manager cloud-controls create CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--display-name=DISPLAY_NAME] \
   [--description=DESCRIPTION] \
   [--categories=[CATEGORIES,...]] \
   [--finding-category=FINDING_CATEGORY] \
   [--parameter-spec=[defaultValue=DEFAULTVALUE],[description=DESCRIPTION],[displayName=DISPLAYNAME],[isRequired=ISREQUIRED],[name=NAME],[substitutionRules=SUBSTITUTIONRULES],[validation=VALIDATION],[valueType=VALUETYPE]] \
   [--remediation-steps=REMEDIATION_STEPS] \
   [--rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES]] \
   [--severity=SEVERITY] \
   [--supported-cloud-providers=[SUPPORTED_CLOUD_PROVIDERS,…]] \
   [--supported-target-resource-types=[SUPPORTED_TARGET_RESOURCE_TYPES,…]]

Substitua os seguintes valores:

  • CLOUD_CONTROL: um nome alfanumérico exclusivo para o controle da nuvem

  • ORGANIZATION: o ID da organização

  • LOCATION: a região em que o controle da nuvem está armazenado

  • DISPLAY_NAME: um nome legível para humanos do controle na nuvem

  • DESCRIPTION: uma descrição opcional da finalidade do controle na nuvem.

  • CATEGORIES,…: um parâmetro opcional que define as categorias de que o controle de nuvem faz parte. Para conferir uma lista de categorias permitidas, consulte gcloud compliance-manager cloud-controls create.

  • FINDING_CATEGORY: o valor que aparece no painel de descobertas do Security Command Center quando o controle de nuvem gera uma descoberta.

  • --parameter-spec=[defaultValue=DEFAULTVALUE], \
 [description=DESCRIPTION], \
 [displayName= DISPLAYNAME], \
 [isRequired=ISREQUIRED], \
 [name=NAME], \
 [substitutionRules=SUBSTITUTIONRULES], \
 [validation=VALIDATION], \
 [valueType=VALUETYPE]...]

    são as informações de parâmetro opcionais para o controle na nuvem, no formato a seguir:

    • DEFAULTVALUE: os dados que são aplicados se um usuário não personalizar o parâmetro ao implantar um framework. Os tipos de valores compatíveis são boolValue, numberValue, stringListValue ou stringValue.

    • DESCRIPTION: uma descrição opcional do controle.

    • ISREQUIRED: true se o controle exigir a definição de um parâmetro.

    • NAME: o nome do parâmetro

    • SUBSTITUTIONRULES: como e onde o Compliance Manager injeta o valor personalizado do parâmetro. Especifique o caminho segmentado na regra usando uma notação de ponto proto (por exemplo, rules[0].org_policy_constraint...). Escolha uma das seguintes opções:

      • attributeSubstitutionRule quando você quer injetar o valor do parâmetro diretamente em um campo estrutural da sua regra (por exemplo, preenchendo uma lista de valores restritos em um modelo de regra de restrição de política da organização).

      • placeholderSubstitutionRule quando sua regra usa uma string de texto (ou uma expressão CEL). A string precisa conter uma variável de marcador de posição com o prefixo $ (por exemplo, $deniedServices), e essa regra informa ao compilador para mapear o parâmetro para esse marcador de posição.

      O exemplo a seguir cria um parâmetro de lista chamado deniedServices com o tipo STRINGLIST. Ele usa attributeSubstitutionRule para adicionar nomes de serviços fornecidos pelo usuário (como compute.googleapis.com) diretamente a uma regra de política estrutural personalizada da organização (denied_values) quando implantada:

      --parameter-spec='name=deniedServices,isRequired=true,valueType=STRINGLIST,substitutionRules=[{attributeSubstitutionRule={attribute="rules[0].org_policy_constraint.policy_rules[0].values.denied_values"}}]'

    • VALIDATION é o conjunto permitido de valores. Escolha uma das seguintes opções:

      • Use allowedValues para aplicar uma lista de permissão estática. Por exemplo, limite os parâmetros de local a campos de string específicos: validation={allowedValues={values=[{stringValue=us-central1},{stringValue=us-west1}]}}

      • Use intRange para aplicar limites numéricos a números inteiros. Por exemplo, defina um período de armazenamento entre 1 e 365: validation={intRange={min=1,max=365}}

      • Use regexpPattern para aplicar a correspondência de expressões regulares em texto de string. Por exemplo, exija nomes alfanuméricos estritos: validation={regexpPattern={pattern="^[a-z][-a-z0-9]*$"}}

    • VALUETYPE: o tipo de dados ou formato do valor que um usuário fornece para esse parâmetro. Os tipos de valor compatível são STRING, BOOLEAN, STRINGLIST, NUMBER e ONEOF.

    Como alternativa, especifique um arquivo JSON ou YAML que defina os parâmetros. Por exemplo, --parameter-spec=path_to_file.(yaml|json) Expanda a seção a seguir para conferir exemplos de arquivos JSON e YAML.

    Exemplo de arquivo JSON

      [
    {
      "name": "deniedServices",
      "displayName": "Services Requiring CMEK",
      "description": "List of service names that must use Customer-Managed Encryption Keys.",
      "isRequired": true,
      "valueType": "STRINGLIST",
      "substitutionRules": [
        {
          "attributeSubstitutionRule": {
            "attribute": "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"
          }
        }
      ]
    }
  ]

    Exemplo de arquivo YAML

      - name: deniedServices
    displayName: "Services Requiring CMEK"
    description: "List of service names that must use Customer-Managed Encryption Keys."
    isRequired: true
    valueType: STRINGLIST
    substitutionRules:
    - attributeSubstitutionRule:
        attribute: "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"

  • REMEDIATION_STEPS: as etapas necessárias para resolver as descobertas. Essa string é limitada a 400 caracteres.

  • --rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES] é a regra que você quer aplicar, no seguinte formato:

    • CELEXPRESSION: a expressão da linguagem de expressão comum (CEL) da regra. Para informações sobre como escrever expressões CEL, consulte Escrever regras para controles de nuvem personalizados. Inclua o seguinte:

      • expression: a expressão CEL, com um máximo de 1.000 caracteres

      • resourceTypesValues: o nome dos recursos, no formato SERVICE_NAME/type. Use uma matriz values para listar todos os tipos de recursos a que você quer aplicar a regra. Por exemplo, values=[compute.googleapis.com/Instance].

    • DESCRIPTION: uma descrição da regra.

    • RULEACTIONTYPES: a ação que a regra realiza. Os valores aceitos são rule-action-type-detective, rule-action-type-preventive e rule-action-type-audit.

    Por exemplo, para verificar o período de rotação de chaves do Cloud Key Management Service, insira o seguinte:

    --rules="[
  {
    \"celExpression\": {
      \"expression\": \"has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')\",
      \"resourceTypesValues\": {
        \"values\": [
          \"cloudkms.googleapis.com/CryptoKey\"
        ]
      }
    },
    \"description\": \"Check KMS key rotation period\",
    \"ruleActionTypes\": [
      \"rule-action-type-detective\"
    ]
  }
]"

    Como alternativa, é possível especificar um arquivo JSON ou YAML que define a regra. Por exemplo, --rules=path_to_file.(yaml|json) Expanda a seção a seguir para conferir exemplos de arquivos JSON e YAML.

    Exemplo de arquivo JSON

      [
    {
      "celExpression": {
        "expression": "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')",
        "resourceTypesValues": {
          "values": [
            "cloudkms.googleapis.com/CryptoKey"
          ]
        }
      },
      "description": "Check KMS key rotation period to ensure it is under 60 hours.",
      "ruleActionTypes": [
        "rule-action-type-detective"
      ]
    }
  ]

    Exemplo de arquivo YAML

      - celExpression:
      expression: "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')"
      resourceTypesValues:
        values:
        - cloudkms.googleapis.com/CryptoKey
    description: "Check KMS key rotation period to ensure it is under 60 hours."
    ruleActionTypes:
    - rule-action-type-detective

  • SEVERITY: o nível de gravidade do controle de nuvem. Os valores aceitos são critical, high, medium e low.

  • SUPPORTED_CLOUD_PROVIDERS,…: os provedores de nuvem a que esse controle se aplica. O único valor compatível é gcp.

  • SUPPORTED_TARGET_RESOURCE_TYPES,…: os tipos de recursos (organização, pasta, projeto ou pasta habilitada para apps no App Hub) que o controle na nuvem aceita. Os valores aceitos são target-resource-crm-type-folder, target-resource-crm-type-org, target-resource-crm-type-project e target-resource-type-application.

Por exemplo, para criar um controle na nuvem que aplique locais de recursos, execute o seguinte comando:

  gcloud compliance-manager cloud-controls create \
     restrict-resource-locations \
     --organization=3589215982 \
     --location=global \
     --display-name="Restrict Resource Locations" \
     --description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
     --severity=high \
     --finding-category="LOCATION_VIOLATION" \
     --supported-cloud-providers="gcp" \
     --supported-target-resource-types="target-resource-crm-type-project" \
     --parameter-spec='name=allowedLocations,isRequired=true,valueType=STRINGLIST,substitutionRules=[{placeholderSubstitutionRule={attribute="rules[0].cel_expression.expression"}}]' \
     --rules="[{\"celExpression\": {\"expression\": \"resource.location in \$allowedLocations\", \"resourceTypesValues\": {\"values\": [\"compute.googleapis.com/Instance\"]}}, \"description\": \"Check Compute Engine instance locations\", \"ruleActionTypes\": [\"rule-action-type-detective\"]}]"

Para criar o mesmo controle, mas usar arquivos YAML para definir os parâmetros e regras, execute:

     gcloud compliance-manager cloud-controls create \
     restrict-resource-locations \
     --organization=3589215982 \
     --location=global \
     --display-name="Restrict Resource Locations" \
     --description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
     --severity=high \
     --finding-category="LOCATION_VIOLATION" \
     --supported-cloud-providers="gcp" \
     --supported-target-resource-types="target-resource-crm-type-project" \
     --parameter-spec=parameters.yaml \
     --rules=rules.yaml

Para mais informações, consulte gcloud compliance-manager cloud-controls create.

Terraform

Ao usar o Terraform, é possível criar um controle de nuvem personalizado com no máximo três regras. Cada regra pode ser aplicada a apenas um tipo de recurso.

O exemplo a seguir mostra como criar um controle de nuvem personalizado usando o Terraform.

resource "google_cloud_security_compliance_cloud_control" "example" {
  organization        = "123456789"
  location            = "global"
  cloud_control_id    = "example-cloudcontrol"

  display_name      = "TF test CloudControl Name"
  description       = "A test cloud control for security compliance"
  categories        = ["CC_CATEGORY_INFRASTRUCTURE"]
  severity          = "HIGH"
  finding_category  = "SECURITY_POLICY"
  remediation_steps = "Review and update the security configuration according to best practices."

  supported_cloud_providers        = ["GCP"]

  rules {
    description         = "Ensure compute instances have secure boot enabled"
    rule_action_types   = ["RULE_ACTION_TYPE_DETECTIVE"]

    cel_expression {
      expression = "resource.data.shieldedInstanceConfig.enableSecureBoot == true"
      resource_types_values {
        values = ["compute.googleapis.com/Instance"]
      }
    }
  }

  parameter_spec {
    name         = "location"
    display_name = "Resource Location"
    description  = "The location where the resource should be deployed"
    value_type   = "STRING"
    is_required  = true

    default_value {
      string_value = "us-central1"
    }

    validation {
      regexp_pattern {
        pattern = "^[a-z]+-[a-z]+[0-9]$"
      }
    }
  }

  parameter_spec {
    name         = "enable_secure_boot"
    display_name = "Enable Secure Boot"
    description  = "Whether to enable secure boot for instances"
    value_type   = "BOOLEAN"
    is_required  = true

    default_value {
      bool_value = true
    }

    substitution_rules {
      attribute_substitution_rule {
        attribute = "rules[0].cel_expression.expression"
      }
    }

    validation {
      allowed_values {
        values {
          bool_value = true
        }
      }
    }
  }

  parameter_spec {
    name         = "max_instances"
    display_name = "Maximum Instances"
    description  = "Maximum number of instances allowed"
    value_type   = "NUMBER"
    is_required  = false

    default_value {
      number_value = 10
    }

    substitution_rules {
      placeholder_substitution_rule {
        attribute = "rules[0].description"
      }
    }

    validation {
      int_range {
        min = "1"
        max = "100"
      }
    }
  }

  parameter_spec {
    name         = "allowed_regions"
    display_name = "Allowed Regions"
    description  = "List of regions where resources can be deployed"
    value_type   = "STRINGLIST"
    is_required  = true

    default_value {
      string_list_value {
        values = ["us-central1", "us-east1", "us-west1"]
      }
    }

    validation {
      allowed_values {
        values {
          string_list_value {
            values = ["us-central1", "us-east1"]
          }
        }
        values {
          string_list_value {
            values = ["us-west1", "us-west2"]
          }
        }
      }
    }
  }

  parameter_spec {
    name         = "environment_type"
    display_name = "Environment Type"
    description  = "The type of environment"
    value_type   = "STRING"
    is_required  = true

    default_value {
      string_value = "production"
    }

    validation {
      allowed_values {
        values {
          string_value = "production"
        }
        values {
          string_value = "staging"
        }
        values {
          number_value = 1
        }
      }
    }
  }
}

Editar um controle de nuvem personalizado

Depois de criar um controle de nuvem, é possível mudar o nome, a descrição, as regras, as etapas de correção e o nível de gravidade dele. Não é possível mudar a categoria do controle de nuvem.

  1. No console do Google Cloud , acesse a página Compliance.

    Acesse "Compliance"

  2. Selecione a organização ou o projeto.

  3. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

  4. Clique no controle de nuvem que você quer editar.

  5. Na página Detalhes dos controles de nuvem, verifique se o controle não está incluído em um framework. Se necessário, edite o framework para remover o controle de nuvem.

  6. Clique em Editar.

  7. Na página Editar controle de nuvem personalizado, mude o nome e a descrição conforme necessário. Clique em Continuar.

  8. Atualize as regras, a gravidade da descoberta e as etapas de correção. Clique em Continuar.

  9. Revise as mudanças e clique em Salvar.

Atualizar um controle de nuvem integrado para uma versão mais recente

O Google publica atualizações regulares nos controles de nuvem integrados à medida que os serviços implantam novos recursos ou novas práticas recomendadas surgem. As atualizações podem incluir novos controles ou mudanças nos controles atuais.

É possível conferir as versões dos controles de nuvem integrados no painel de controles de nuvem na guia Configurar ou na página de detalhes do controle de nuvem.

O Google notifica você nas notas da versão quando os seguintes itens são atualizados:

  • Nome do Cloud Control
  • Categoria da descoberta
  • Mudança na lógica de detecção ou prevenção em uma regra
  • Lógica subjacente de uma regra

Para atualizar um controle de nuvem depois de receber uma notificação, desvincule e reimplante os frameworks que incluem o controle de nuvem. Para instruções, consulte Atualizar um framework para uma versão mais recente.

Excluir um controle de nuvem personalizado

Exclua um controle na nuvem quando ele não for mais necessário. Só é possível excluir controles de nuvem que você criar. Não é possível excluir controles integrados da nuvem.

Console

  1. No console do Google Cloud , acesse a página Compliance.

    Acesse "Compliance"

  2. Selecione a organização ou o projeto.

  3. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

  4. Clique no controle de nuvem que você quer excluir.

  5. Na página Detalhes dos controles de nuvem, verifique se o controle não está incluído em um framework. Se necessário, edite o framework para remover o controle de nuvem.

  6. Clique em Excluir.

  7. Na janela Excluir, revise a mensagem. Digite Delete e clique em Confirmar.

CLI

Para excluir um controle de nuvem personalizado, execute o comando gcloud compliance-manager cloud-controls delete:

gcloud compliance-manager cloud-controls delete CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION

Substitua os seguintes valores:

  • CLOUD_CONTROL: o nome do controle de nuvem

  • ORGANIZATION: o ID da organização

  • LOCATION: a região em que o controle da nuvem está armazenado

Por exemplo, para excluir um controle de nuvem com o nome restrict-resource-locations, execute o seguinte:

gcloud compliance-manager cloud-controls delete \
   restrict-resource-locations \
   --organization=3589215982 \
   --location=global

Para mais informações, consulte gcloud compliance-manager cloud-controls delete.

Mapeamento de detectores da Análise de integridade da segurança para controles de nuvem

A tabela a seguir mostra como os controles de nuvem do Compliance Manager são mapeados para detectores da Análise de integridade da segurança.

Categoria de descoberta na Análise de integridade da segurança Nome do controle de nuvem no Gerenciador de compliance

ACCESS_TRANSPARENCY_DISABLED

Ativar a transparência no acesso

ADMIN_SERVICE_ACCOUNT

Bloquear funções de administrador em contas de serviço

ALLOWED_INGRESS_ORG_POLICY

Configurar a restrição de política da organização do Cloud Run para configurações de entrada permitidas

ALLOWED_VPC_EGRESS_ORG_POLICY

Configurar a restrição da política da organização de configurações de saída de VPC permitidas para o Cloud Run

ALLOYDB_AUTO_BACKUP_DISABLED

Ativar backups automáticos do AlloyDB no cluster

ALLOYDB_BACKUPS_DISABLED

Ativar os backups do AlloyDB no cluster

ALLOYDB_CMEK_DISABLED

Ativar a CMEK para clusters do AlloyDB

ALLOYDB_LOG_ERROR_VERBOSITY

Definir a flag de nível de detalhes do erro de registro para instâncias do AlloyDB

ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Definir a flag de instrução de erro mínima do registro para instâncias do AlloyDB

ALLOYDB_LOG_MIN_MESSAGES

Definir a flag "Log Min Messages" para instâncias do AlloyDB

ALLOYDB_PUBLIC_IP

Bloquear endereços IP públicos para instâncias de cluster do AlloyDB

ALPHA_CLUSTER_ENABLED

Desativar recursos Alfa em clusters do GKE

API_KEY_APPS_UNRESTRICTED

Restringir chaves de API apenas para APIs necessárias

API_KEY_EXISTS

Indisponível

API_KEY_NOT_ROTATED

Exigir rotação da chave de API

AUDIT_CONFIG_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças no Audit Logging

AUDIT_LOGGING_DISABLED

Implementar o registro de eventos para serviços do Google Cloud

AUTO_BACKUP_DISABLED

Ativar backups automáticos para bancos de dados do Cloud SQL

AUTO_REPAIR_DISABLED

Ativar o reparo automático para clusters do GKE

AUTO_UPGRADE_DISABLED

Ativar o upgrade automático em clusters do GKE

BIGQUERY_TABLE_CMEK_DISABLED

Ativar a CMEK para tabelas do BigQuery

BINARY_AUTHORIZATION_DISABLED

Exigir autorização binária em um cluster

BUCKET_CMEK_DISABLED

Ativar a CMEK para buckets do Cloud Storage

BUCKET_IAM_NOT_MONITORED

Configurar métricas e alertas de registros para mudanças na política do IAM do Cloud Storage

BUCKET_LOGGING_DISABLED

Exigir geração de registros do bucket do Cloud Storage

BUCKET_POLICY_ONLY_DISABLED

Ativar o acesso uniforme no nível do bucket nos buckets do Cloud Storage

CLOUD_ASSET_API_DISABLED

Ativar o serviço do Inventário de recursos do Cloud

CLUSTER_LOGGING_DISABLED

Ativar o Cloud Logging em clusters do GKE

CLUSTER_MONITORING_DISABLED

Ativar o Cloud Monitoring em clusters do GKE

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Ativar o Acesso privado do Google em uma instância

CLUSTER_SECRETS_ENCRYPTION_DISABLED

Ativar a criptografia em clusters do GKE

CLUSTER_SHIELDED_NODES_DISABLED

Ativar nós protegidos do GKE em um cluster

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Bloquear chaves SSH em todo o projeto em instâncias do Compute Engine

COMPUTE_SECURE_BOOT_DISABLED

Ativar a inicialização segura em instâncias do Compute Engine

COMPUTE_SERIAL_PORTS_ENABLED

Bloquear portas seriais para instâncias do Compute Engine

CONFIDENTIAL_COMPUTING_DISABLED

Ativar a Computação confidencial para instâncias do Compute Engine

COS_NOT_USED

Exigir o Container-Optimized OS para um cluster do GKE

CUSTOM_ORG_POLICY_VIOLATION

Indisponível

CUSTOM_ROLE_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças de função personalizada

DATAPROC_CMEK_DISABLED

Exigir CMEK em clusters do Dataproc

DATAPROC_IMAGE_OUTDATED

Usar as versões mais recentes de imagens em clusters do Dataproc

DATASET_CMEK_DISABLED

Ativar a CMEK para conjuntos de dados do BigQuery

DEFAULT_NETWORK

Usar redes com regras de firewall personalizadas

DEFAULT_SERVICE_ACCOUNT_USED

Usar contas de serviço personalizadas para instâncias do Compute Engine

DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Configurar a política da organização "Desativar o uso do IPv6 externo da VPC"

DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Configurar a política da organização "Desativar o uso do IPv6 externo da VPC"

DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Configurar a política da organização "Desativar o registro da porta serial da VM para o Stackdriver"

DISK_CMEK_DISABLED

Ativar a CMEK em discos permanentes do Compute Engine

DISK_CSEK_DISABLED

Ativar CSEK em discos permanentes do Compute Engine

DNS_LOGGING_DISABLED

Ativar o monitoramento de registros do Cloud DNS

DNSSEC_DISABLED

Ativar a DNSSEC para o Cloud DNS

EGRESS_DENY_RULE_NOT_SET

Aplicar a regra de firewall de saída "Negar tudo"

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Definir contatos essenciais

FIREWALL_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças no firewall de rede VPC

FIREWALL_RULE_LOGGING_DISABLED

Ativar a geração de registros de regras de firewall

FLOW_LOGS_DISABLED

Ativar registros de fluxo para sub-rede da VPC

FULL_API_ACCESS

Restringir o acesso à API às APIs do Google Cloud para instâncias do Compute Engine

HTTP_LOAD_BALANCER

Aplicar somente o tráfego HTTPS

INCORRECT_BQ4G_SERVICE_PERIMETER

Definir perímetros de serviço no VPC Service Controls

INSTANCE_OS_LOGIN_DISABLED

Ativar o Login do SO

INTEGRITY_MONITORING_DISABLED

Ativar o monitoramento de integridade nos clusters do GKE

INTRANODE_VISIBILITY_DISABLED

Ativar a visibilidade intranós para clusters do GKE

IP_ALIAS_DISABLED

Ativar o intervalo de alias de IP para clusters do GKE

IP_FORWARDING_ENABLED

Impedir o encaminhamento de IP em instâncias do Compute Engine

KMS_KEY_NOT_ROTATED

Definir o período de rotação das chaves do Cloud KMS

KMS_PROJECT_HAS_OWNER

Indisponível

KMS_PUBLIC_KEY

Indisponível

KMS_ROLE_SEPARATION

Aplicar a segregação de funções

LEGACY_AUTHORIZATION_ENABLED

Bloquear a autorização legada em clusters do GKE

LEGACY_METADATA_ENABLED

Desativar endpoints legados do servidor de metadados no Compute Engine

LEGACY_NETWORK

Não usar redes legadas

LOAD_BALANCER_LOGGING_DISABLED

Ativar a geração de registros do balanceador de carga

LOCKED_RETENTION_POLICY_NOT_SET

Bloquear políticas de retenção de buckets de armazenamento

LOG_NOT_EXPORTED

Configurar coletores de registros

MASTER_AUTHORIZED_NETWORKS_DISABLED

Ativar as redes autorizadas do plano de controle nos clusters do GKE

MFA_NOT_ENFORCED

Indisponível

NETWORK_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças na rede VPC

NETWORK_POLICY_DISABLED

Ativar a política de rede em clusters do GKE

NODEPOOL_BOOT_CMEK_DISABLED

Ativar a CMEK em discos de inicialização do pool de nós do GKE

NODEPOOL_SECURE_BOOT_DISABLED

Ativar a inicialização segura para nós protegidos do GKE

NON_ORG_IAM_MEMBER

Indisponível

OBJECT_VERSIONING_DISABLED

Ativar o controle de versão de objeto em buckets

OPEN_CASSANDRA_PORT

Bloquear conexões com portas do Cassandra de todos os endereços IP

OPEN_CISCOSECURE_WEBSM_PORT

Bloquear conexões com portas CiscoSecure/WebSM de todos os endereços IP

OPEN_DIRECTORY_SERVICES_PORT

Bloquear conexões com portas de serviços de diretório de todos os endereços IP

OPEN_DNS_PORT

Bloquear conexões com portas DNS de todos os endereços IP

OPEN_ELASTICSEARCH_PORT

Bloquear conexões com portas do Elasticsearch de todos os endereços IP

OPEN_FIREWALL

Indisponível

OPEN_FTP_PORT

Bloquear conexões com portas FTP de todos os endereços IP

OPEN_GROUP_IAM_MEMBER

Indisponível

OPEN_HTTP_PORT

Bloquear conexões com portas HTTP de todos os endereços IP

OPEN_LDAP_PORT

Bloquear conexões com portas LDAP de todos os endereços IP

OPEN_MEMCACHED_PORT

Bloquear conexões com portas do Memcached de todos os endereços IP

OPEN_MONGODB_PORT

Bloquear conexões com portas do MongoDB de todos os endereços IP

OPEN_MYSQL_PORT

Bloquear conexões com portas do MySQL de todos os endereços IP

OPEN_NETBIOS_PORT

Bloquear conexões com portas NetBIOS de todos os endereços IP

OPEN_ORACLEDB_PORT

Bloquear conexões com portas do Oracle Database de todos os endereços IP

OPEN_POP3_PORT

Bloquear conexões com portas de servidor POP3 de todos os endereços IP

OPEN_POSTGRESQL_PORT

Bloquear conexões com portas do servidor PostgreSQL de todos os endereços IP

OPEN_RDP_PORT

Bloquear o acesso à porta RDP

OPEN_REDIS_PORT

Bloquear conexões com portas do servidor Redis de todos os endereços IP

OPEN_SMTP_PORT

Bloquear conexões com portas de servidor SMTP de todos os endereços IP

OPEN_SSH_PORT

Bloquear o acesso à porta SSH

OPEN_TELNET_PORT

Bloquear conexões com portas de servidor Telnet de todos os endereços IP

ORG_POLICY_CONFIDENTIAL_VM_POLICY

Ativar a restrição de política da organização para VM confidencial

OS_LOGIN_DISABLED

Ativar o Login do SO para todas as instâncias no nível do projeto

OVER_PRIVILEGED_ACCOUNT

Usar contas de serviço com privilégios mínimos para clusters do GKE

OVER_PRIVILEGED_SCOPES

Criar clusters do GKE com escopos de acesso de conta de serviço limitados

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Bloquear funções de administrador em contas de serviço

OWNER_NOT_MONITORED

Indisponível

POD_SECURITY_POLICY_DISABLED

Indisponível

PRIMITIVE_ROLES_USED

Restringir papéis legados do IAM

PRIVATE_CLUSTER_DISABLED

Ativar clusters particulares para o GKE

PRIVATE_GOOGLE_ACCESS_DISABLED

Ativar o Acesso privado do Google para sub-redes da VPC

PUBLIC_BUCKET_ACL

Restringir o acesso público aos buckets do Cloud Storage

PUBLIC_COMPUTE_IMAGE

Restringir o acesso público a imagens do Compute

PUBLIC_DATASET

Restringir o acesso público aos conjuntos de dados do BigQuery

PUBLIC_IP_ADDRESS

Restringir endereços IP públicos a instâncias do Compute Engine

PUBLIC_LOG_BUCKET

Restringir o acesso público aos buckets do Cloud Storage

PUBLIC_SQL_INSTANCE

Restringir o acesso público a instâncias de banco de dados do Cloud SQL

PUBSUB_CMEK_DISABLED

Criptografar o tópico do Pub/Sub com CMEK

QL_LOG_STATEMENT_STATS_ENABLED

Ativar a flag de instrução de registro para PostgreSQL

REDIS_ROLE_USED_ON_ORG

Indisponível

RELEASE_CHANNEL_DISABLED

Inscrever um cluster do GKE em um canal de lançamento

REQUIRE_OS_LOGIN_ORG_POLICY

Ativar o Login do SO

REQUIRE_VPC_CONNECTOR_ORG_POLICY

Definir a saída do conector de acesso VPC para funções do Cloud Run

RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Ative a restrição de política da organização "Restringir redes autorizadas em instâncias do Cloud SQL".

ROUTE_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças de rota da VPC

RSASHA1_FOR_SIGNING

Evitar RSASHA1 para assinatura de DNSSEC

S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Indisponível

S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Indisponível

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Exigir rotação de chaves da conta de serviço

SERVICE_ACCOUNT_ROLE_SEPARATION

Aplicar a segregação de funções

SHIELDED_VM_DISABLED

Ativar a VM protegida para instâncias do Compute Engine

SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Restringir a criação de rede padrão para instâncias do Compute Engine

SQL_CMEK_DISABLED

Ativar a CMEK para bancos de dados do Cloud SQL

SQL_CONTAINED_DATABASE_AUTHENTICATION

Desativar a flag de autenticação de banco de dados contido para SQL Server

SQL_CROSS_DB_OWNERSHIP_CHAINING

Desativar a flag de encadeamento de propriedade entre bancos de dados para o SQL Server

SQL_EXTERNAL_SCRIPTS_ENABLED

Desativar a flag de scripts externos para o SQL Server

SQL_INSTANCE_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças na configuração do Cloud SQL

SQL_LOCAL_INFILE

Desativar a flag local_infile para MySQL

SQL_LOG_CHECKPOINTS_DISABLED

Ativar a flag de pontos de verificação de registros para PostgreSQL

SQL_LOG_CONNECTIONS_DISABLED

Ativar a flag "Log Connections" para PostgreSQL

SQL_LOG_DISCONNECTIONS_DISABLED

Ativar a flag "Log Disconnections" para PostgreSQL

SQL_LOG_DURATION_DISABLED

Ativar a flag de duração do registro para a instância do PostgreSQL

SQL_LOG_ERROR_VERBOSITY

Ativar a flag de verbosidade de erro de registro para PostgreSQL

SQL_LOG_EXECUTOR_STATS_ENABLED

Desativar a flag de estatísticas do executor de registros para PostgreSQL

SQL_LOG_HOSTNAME_ENABLED

Desativar a flag de nome do host de registro para PostgreSQL

SQL_LOG_LOCK_WAITS_DISABLED

Ativar a flag de espera de bloqueios de registros para a instância do PostgreSQL

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Desativar a flag de instrução de duração mínima de registros para PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Ativar a flag "Log Min Error Statement" para PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Indisponível

SQL_LOG_MIN_MESSAGE

Ativar a flag "Log Min Messages" para PostgreSQL

SQL_LOG_PARSER_STATS_ENABLED

Desativar a flag de estatísticas do analisador de registros para PostgreSQL

SQL_LOG_PLANNER_STATS_ENABLED

Desativar a flag de estatísticas do planejador de registros para PostgreSQL

SQL_LOG_STATEMENT

Ativar a flag de instrução de registro para PostgreSQL

SQL_LOG_TEMP_FILES

Ativar a flag "Log Temp Files" para a instância do PostgreSQL

SQL_NO_ROOT_PASSWORD

Indisponível

SQL_PUBLIC_IP

Bloquear endereços IP públicos para instâncias do Cloud SQL

SQL_REMOTE_ACCESS_ENABLED

Desativar a flag de acesso remoto para o SQL Server

SQL_SCANNER

Ativar a criptografia SSL nas instâncias do AlloyDB

SQL_SKIP_SHOW_DATABASE_DISABLED

Ativar a flag "Skip Show Database" para MySQL

SQL_TRACE_FLAG_3625

Ativar a flag de banco de dados de rastreamento 3625 para o SQL Server

SQL_USER_CONNECTIONS_CONFIGURED

Não use a flag de conexões de usuário para o SQL Server

SQL_USER_OPTIONS_CONFIGURED

Não use a flag de opções do usuário para o SQL Server

SQL_WEAK_ROOT_PASSWORD

Indisponível

SSL_NOT_ENFORCED

Aplicar SSL a todas as conexões de banco de dados de entrada

TOO_MANY_KMS_USERS

Limitar usuários de chaves criptográficas do KMS a três

UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Ativar o acesso uniforme no nível do bucket nos buckets do Cloud Storage

USER_MANAGED_SERVICE_ACCOUNT_KEY

Restringir chaves de contas de serviço gerenciadas pelo usuário

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Indisponível

WEAK_SSL_POLICY

Restringir políticas de SSL não seguras para instâncias do Compute Engine

WEB_UI_ENABLED

Não use a interface da Web do Kubernetes

WORKLOAD_IDENTITY_DISABLED

Ativar a Federação de Identidade da Carga de Trabalho para GKE em clusters

A seguir