管理雲端控制項

法規遵循管理工具內建許多雲端控制項,可新增至架構並部署在環境中。如有需要,您可以建立及管理自己的自訂雲端控管機制,並更新內建的雲端控管機制。

事前準備

查看雲端控管機制

請完成下列步驟,查看內建雲端控管機制,以及您已建立的任何自訂雲端控管機制。

  1. 前往 Google Cloud 控制台的「Compliance」頁面。

    前往「法規遵循」頁面

  2. 選取您的機構。

  3. 在「設定」分頁中,按一下「雲端控制項」。系統會顯示可用的雲端控制選項。

    資訊主頁會顯示哪些架構包含雲端控制項,以及雲端控制項套用的資源數量 (機構、資料夾和專案)。

  4. 如要查看雲端控管機制的詳細資料,請按一下控管機制名稱。

建立自訂雲端控管機制

自訂雲端控管機制僅適用於一種資源類型。系統僅支援 Cloud Asset Inventory 資源資料類型。自訂雲端控管機制不支援參數。

  1. 前往 Google Cloud 控制台的「Compliance」頁面。

    前往「法規遵循」頁面

  2. 選取您的機構。

  3. 在「設定」分頁中,按一下「雲端控制項」。畫面上會顯示可用的雲端控制選項清單。

  4. 使用 Gemini 或手動建立 Cloud Control:

使用 Gemini

  1. 請 Gemini 為您生成雲端控管機制。Gemini 會根據提示提供專屬 ID、名稱、相關偵測邏輯,以及可能的補救步驟。

  2. 查看建議並進行所有必要的變更。

  3. 儲存自訂 CloudControl。

手動建立

  1. 在「Cloud control ID」中,提供控管機制的專屬 ID。

  2. 輸入名稱和說明,協助貴機構使用者瞭解自訂雲端控管機制的用途。

  3. 選用:選取控制項的類別。按一下「繼續」

  4. 為自訂 CloudControl 選取可用的資源類型。 法規遵循管理工具支援所有資源類型。如要尋找資源名稱,請參閱「資產類型」。

  5. 以一般運算式語言 (CEL) 格式,提供 CloudControl 的偵測邏輯。

    您可以使用 CEL 運算式定義資源屬性的評估方式。如需更多資訊和範例,請參閱「為自訂雲端控制項編寫規則」。點選「繼續」

    如果評估規則無效,系統會顯示錯誤訊息。

  6. 選取適當的發現項目嚴重性。

  7. 撰寫補救措施說明,讓貴機構的事件回應人員和管理員可以解決雲端控制項的任何發現。按一下「繼續」

  8. 檢查輸入內容,然後按一下「建立」

編輯自訂雲端控制選項

建立雲端控制項後,您可以變更其名稱、說明、規則、補救步驟和嚴重程度。您無法變更雲端控管機制類別。

  1. 前往 Google Cloud 控制台的「Compliance」頁面。

    前往「法規遵循」頁面

  2. 選取您的機構。

  3. 在「設定」分頁中,按一下「雲端控制項」。系統會顯示可用的雲端控制選項清單。

  4. 按一下要編輯的雲端控制項。

  5. 在「雲端控管機制詳細資料」頁面,確認雲端控管機制未納入架構。如有需要,請編輯架構,移除雲端控管機制

  6. 按一下 [編輯]

  7. 在「編輯自訂 CloudControl」頁面中,視需要變更名稱和說明。點選「繼續」

  8. 更新規則、發現項目的嚴重程度和補救步驟。按一下「繼續」

  9. 檢查變更內容,然後按一下「儲存」

將內建雲端控制項更新為較新版本

隨著服務部署新功能或出現新的最佳做法,Google 會定期更新內建的雲端控制項。更新內容可能包括新增控制選項,或是變更現有控制選項。

如要查看內建雲端控制項的版本,請前往「設定」分頁的雲端控制項資訊主頁,或雲端控制項詳細資料頁面。

如果下列項目有更新,Google 會在版本資訊中通知您:

  • 雲端控管機制名稱
  • 發現項目類別
  • 規則中的偵測或預防邏輯變更
  • 規則的基礎邏輯

收到通知後,如要更新雲端控制項,請取消指派並重新部署包含雲端控制項的架構。如需操作說明,請參閱「將架構更新為較新版本」。

刪除自訂雲端控管機制

不再需要時,請刪除 CloudControl。您只能刪除自己建立的雲端控管機制。您無法刪除內建雲端控制項。

  1. 前往 Google Cloud 控制台的「Compliance」頁面。

    前往「法規遵循」頁面

  2. 選取您的機構。

  3. 在「設定」分頁中,按一下「雲端控制項」。系統會顯示可用的雲端控制選項清單。

  4. 按一下要刪除的雲端遙控器。

  5. 在「雲端控管機制詳細資料」頁面,確認雲端控管機制未納入架構。如有需要,請編輯架構,移除雲端控管機制

  6. 點選「刪除」。

  7. 在「刪除」視窗中,查看訊息。輸入 Delete,然後按一下「確認」

將 Security Health Analytics 偵測器對應至雲端控制項

下表顯示 Compliance Manager 雲端控制項如何對應至 Security Health Analytics 偵測器。

安全性狀態分析中的發現項目類別 法規遵循管理工具中的雲端控管機制名稱

ACCESS_TRANSPARENCY_DISABLED

啟用資料存取透明化控管機制

ADMIN_SERVICE_ACCOUNT

禁止服務帳戶擔任管理員角色

ALLOWED_INGRESS_ORG_POLICY

設定 Cloud Run 組織政策限制的允許輸入設定

ALLOWED_VPC_EGRESS_ORG_POLICY

為 Cloud Run 機構政策限制設定允許的虛擬私有雲輸出設定

ALLOYDB_AUTO_BACKUP_DISABLED

在叢集上啟用 AlloyDB 自動備份功能

ALLOYDB_BACKUPS_DISABLED

在叢集上啟用 AlloyDB 備份

ALLOYDB_CMEK_DISABLED

為 AlloyDB 叢集啟用 CMEK

ALLOYDB_LOG_ERROR_VERBOSITY

為 AlloyDB 執行個體設定記錄錯誤詳細程度旗標

ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

為 AlloyDB 執行個體設定 Log Min Error Statement 旗標

ALLOYDB_LOG_MIN_MESSAGES

為 AlloyDB 執行個體設定記錄最低訊息等級旗標

ALLOYDB_PUBLIC_IP

封鎖 AlloyDB 叢集執行個體的公開 IP 位址

ALPHA_CLUSTER_ENABLED

停用 GKE 叢集的 Alpha 版功能

API_KEY_APPS_UNRESTRICTED

僅針對必要 API 限制 API 金鑰

API_KEY_EXISTS

無法使用

API_KEY_NOT_ROTATED

要求輪替 API 金鑰

AUDIT_CONFIG_NOT_MONITORED

設定稽核記錄變更的記錄指標和快訊

AUDIT_LOGGING_DISABLED

為 Google Cloud 服務導入事件記錄功能

AUTO_BACKUP_DISABLED

啟用 Cloud SQL 資料庫的自動備份功能

AUTO_REPAIR_DISABLED

為 GKE 叢集啟用自動修復功能

AUTO_UPGRADE_DISABLED

在 GKE 叢集上啟用自動升級功能

BIGQUERY_TABLE_CMEK_DISABLED

為 BigQuery 資料表啟用 CMEK

BINARY_AUTHORIZATION_DISABLED

在叢集上啟用二進位授權

BUCKET_CMEK_DISABLED

為 Cloud Storage 值區啟用 CMEK

BUCKET_IAM_NOT_MONITORED

設定 Cloud Storage IAM 政策變更的記錄指標和快訊

BUCKET_LOGGING_DISABLED

需要 Cloud Storage Bucket 記錄

BUCKET_POLICY_ONLY_DISABLED

在 Cloud Storage 值區上啟用統一值區層級存取權

CLOUD_ASSET_API_DISABLED

啟用 Cloud Asset Inventory 服務

CLUSTER_LOGGING_DISABLED

在 GKE 叢集上啟用 Cloud Logging

CLUSTER_MONITORING_DISABLED

在 GKE 叢集上啟用 Cloud Monitoring

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

在執行個體上啟用 Private Google Access

CLUSTER_SECRETS_ENCRYPTION_DISABLED

在 GKE 叢集上啟用加密功能

CLUSTER_SHIELDED_NODES_DISABLED

在叢集上啟用受防護的 GKE 節點

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

封鎖 Compute Engine 執行個體上的專案層級安全殼層金鑰

COMPUTE_SECURE_BOOT_DISABLED

在 Compute Engine 執行個體上啟用安全啟動

COMPUTE_SERIAL_PORTS_ENABLED

封鎖 Compute Engine 執行個體的序列埠

CONFIDENTIAL_COMPUTING_DISABLED

為 Compute Engine 執行個體啟用機密運算

COS_NOT_USED

為 GKE 叢集啟用 Container-Optimized OS

CUSTOM_ORG_POLICY_VIOLATION

無法使用

CUSTOM_ROLE_NOT_MONITORED

設定自訂角色變更的記錄指標和快訊

DATAPROC_CMEK_DISABLED

要求在 Dataproc 叢集上使用 CMEK

DATAPROC_IMAGE_OUTDATED

在 Dataproc 叢集上使用最新映像檔版本

DATASET_CMEK_DISABLED

為 BigQuery 資料集啟用 CMEK

DEFAULT_NETWORK

使用含有自訂防火牆規則的網路

DEFAULT_SERVICE_ACCOUNT_USED

為 Compute Engine 執行個體使用自訂服務帳戶

DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

設定「停用虛擬私有雲外部 IPv6 用量」機構政策

DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

設定「停用虛擬私有雲外部 IPv6 用量」機構政策

DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

設定「停用 Stackdriver 的 VM 序列埠記錄功能」機構政策

DISK_CMEK_DISABLED

在 Compute Engine 永久磁碟上啟用 CMEK

DISK_CSEK_DISABLED

在 Compute Engine 永久磁碟上啟用 CSEK

DNS_LOGGING_DISABLED

啟用 Cloud DNS 記錄監控

DNSSEC_DISABLED

為 Cloud DNS 啟用 DNSSEC

EGRESS_DENY_RULE_NOT_SET

強制執行「拒絕所有輸出」防火牆規則

ESSENTIAL_CONTACTS_NOT_CONFIGURED

定義重要聯絡人

FIREWALL_NOT_MONITORED

設定虛擬私有雲網路防火牆變更的記錄指標和快訊

FIREWALL_RULE_LOGGING_DISABLED

啟用防火牆規則記錄

FLOW_LOGS_DISABLED

為虛擬私有雲子網路啟用流量記錄

FULL_API_ACCESS

限制 Compute Engine 執行個體對 Google Cloud API 的存取權

HTTP_LOAD_BALANCER

僅強制執行 HTTPS 流量

INCORRECT_BQ4G_SERVICE_PERIMETER

在 VPC Service Controls 中定義服務範圍

INSTANCE_OS_LOGIN_DISABLED

啟用 OS 登入功能

INTEGRITY_MONITORING_DISABLED

在 GKE 叢集上啟用完整性監控功能

INTRANODE_VISIBILITY_DISABLED

為 GKE 叢集啟用節點內瀏覽權限

IP_ALIAS_DISABLED

為 GKE 叢集啟用 IP 別名範圍

IP_FORWARDING_ENABLED

禁止在 Compute Engine 執行個體上轉送 IP

KMS_KEY_NOT_ROTATED

定義 Cloud KMS 金鑰的輪替週期

KMS_PROJECT_HAS_OWNER

無法使用

KMS_PUBLIC_KEY

無法使用

KMS_ROLE_SEPARATION

強制執行權責劃分

LEGACY_AUTHORIZATION_ENABLED

在 GKE 叢集上封鎖舊版授權

LEGACY_METADATA_ENABLED

在 Compute Engine 上停用舊版中繼資料伺服器端點

LEGACY_NETWORK

不要使用舊版網路

LOAD_BALANCER_LOGGING_DISABLED

啟用負載平衡器記錄功能

LOCKED_RETENTION_POLICY_NOT_SET

鎖定儲存空間值區保留政策

LOG_NOT_EXPORTED

設定記錄接收器

MASTER_AUTHORIZED_NETWORKS_DISABLED

在 GKE 叢集上啟用控制層授權網路

MFA_NOT_ENFORCED

無法使用

NETWORK_NOT_MONITORED

設定虛擬私有雲網路變更的記錄指標和快訊

NETWORK_POLICY_DISABLED

在 GKE 叢集上啟用網路政策

NODEPOOL_BOOT_CMEK_DISABLED

在 GKE 節點集區開機磁碟上啟用 CMEK

NODEPOOL_SECURE_BOOT_DISABLED

為 Shielded GKE 節點啟用安全啟動功能

NON_ORG_IAM_MEMBER

無法使用

OBJECT_VERSIONING_DISABLED

在 Bucket 上啟用物件版本管理

OPEN_CASSANDRA_PORT

封鎖來自所有 IP 位址的 Cassandra 連線埠連線

OPEN_CISCOSECURE_WEBSM_PORT

封鎖來自所有 IP 位址的 CiscoSecure/WebSM 連接埠連線

OPEN_DIRECTORY_SERVICES_PORT

封鎖來自所有 IP 位址的目錄服務連接埠連線

OPEN_DNS_PORT

封鎖來自所有 IP 位址的 DNS 連線埠連線

OPEN_ELASTICSEARCH_PORT

封鎖來自所有 IP 位址的 Elasticsearch 連線埠連線

OPEN_FIREWALL

無法使用

OPEN_FTP_PORT

封鎖所有 IP 位址連線至 FTP 通訊埠

OPEN_GROUP_IAM_MEMBER

無法使用

OPEN_HTTP_PORT

封鎖所有 IP 位址連至 HTTP 通訊埠的連線

OPEN_LDAP_PORT

封鎖所有 IP 位址連線至 LDAP 連接埠

OPEN_MEMCACHED_PORT

封鎖來自所有 IP 位址的 Memcached 連線

OPEN_MONGODB_PORT

封鎖來自所有 IP 位址的 MongoDB 連線埠連線

OPEN_MYSQL_PORT

封鎖所有 IP 位址連線至 MySQL 通訊埠

OPEN_NETBIOS_PORT

封鎖來自所有 IP 位址的 NetBIOS 連線

OPEN_ORACLEDB_PORT

封鎖來自所有 IP 位址的 Oracle Database 連線埠連線

OPEN_POP3_PORT

封鎖來自所有 IP 位址的 POP3 伺服器連接埠連線

OPEN_POSTGRESQL_PORT

封鎖來自所有 IP 位址的 PostgreSQL 伺服器連接埠連線

OPEN_RDP_PORT

封鎖 RDP 通訊埠存取權

OPEN_REDIS_PORT

封鎖來自所有 IP 位址的 Redis 伺服器連接埠連線

OPEN_SMTP_PORT

封鎖來自所有 IP 位址的 SMTP 伺服器通訊埠連線

OPEN_SSH_PORT

封鎖 SSH 通訊埠存取權

OPEN_TELNET_PORT

封鎖來自所有 IP 位址的 Telnet 伺服器連接埠連線

ORG_POLICY_CONFIDENTIAL_VM_POLICY

啟用機密 VM 機構政策限制

OS_LOGIN_DISABLED

在專案層級為所有執行個體啟用 OS 登入功能

OVER_PRIVILEGED_ACCOUNT

為 GKE 叢集使用最低權限服務帳戶

OVER_PRIVILEGED_SCOPES

建立服務帳戶存取範圍受限的 GKE 叢集

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

禁止服務帳戶擔任管理員角色

OWNER_NOT_MONITORED

無法使用

POD_SECURITY_POLICY_DISABLED

無法使用

PRIMITIVE_ROLES_USED

限制舊版 IAM 角色

PRIVATE_CLUSTER_DISABLED

啟用 GKE 私人叢集

PRIVATE_GOOGLE_ACCESS_DISABLED

為虛擬私有雲子網路啟用私人 Google 存取權

PUBLIC_BUCKET_ACL

限制 Cloud Storage 值區的公開存取權

PUBLIC_COMPUTE_IMAGE

限制 Compute 映像檔的公開存取權

PUBLIC_DATASET

限制 BigQuery 資料集的公開存取權

PUBLIC_IP_ADDRESS

限制 Compute Engine 執行個體的公開 IP 位址

PUBLIC_LOG_BUCKET

限制 Cloud Storage 值區的公開存取權

PUBLIC_SQL_INSTANCE

限制對 Cloud SQL 資料庫執行個體的公開存取權

PUBSUB_CMEK_DISABLED

使用 CMEK 加密 Pub/Sub 主題

QL_LOG_STATEMENT_STATS_ENABLED

啟用 PostgreSQL 的「記錄陳述式」旗標

REDIS_ROLE_USED_ON_ORG

無法使用

RELEASE_CHANNEL_DISABLED

將 GKE 叢集訂閱至發布管道

REQUIRE_OS_LOGIN_ORG_POLICY

啟用 OS 登入功能

REQUIRE_VPC_CONNECTOR_ORG_POLICY

定義 Cloud Run 函式的虛擬私有雲連接器輸出

RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

啟用「針對 Cloud SQL 執行個體限制授權的網路」機構政策限制

ROUTE_NOT_MONITORED

設定虛擬私有雲路徑變更的記錄指標和快訊

RSASHA1_FOR_SIGNING

避免使用 RSASHA1 簽署 DNSSEC

S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

無法使用

S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

無法使用

SERVICE_ACCOUNT_KEY_NOT_ROTATED

要求輪替服務帳戶金鑰

SERVICE_ACCOUNT_ROLE_SEPARATION

強制執行權責劃分

SHIELDED_VM_DISABLED

為 Compute Engine 執行個體啟用受防護的 VM

SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

限制 Compute Engine 執行個體建立預設網路

SQL_CMEK_DISABLED

為 Cloud SQL 資料庫啟用 CMEK

SQL_CONTAINED_DATABASE_AUTHENTICATION

關閉 SQL Server 的「contained database authentication」旗標

SQL_CROSS_DB_OWNERSHIP_CHAINING

關閉 SQL Server 的跨資料庫擁有權鏈結旗標

SQL_EXTERNAL_SCRIPTS_ENABLED

關閉 SQL Server 的外部指令碼旗標

SQL_INSTANCE_NOT_MONITORED

設定 Cloud SQL 設定變更的記錄指標和快訊

SQL_LOCAL_INFILE

關閉 MySQL 的 Local Infile 旗標

SQL_LOG_CHECKPOINTS_DISABLED

為 PostgreSQL 啟用記錄檢查點旗標

SQL_LOG_CONNECTIONS_DISABLED

啟用 PostgreSQL 的「記錄連線」旗標

SQL_LOG_DISCONNECTIONS_DISABLED

啟用 PostgreSQL 的「記錄連線中斷」旗標

SQL_LOG_DURATION_DISABLED

為 PostgreSQL 執行個體啟用記錄時間長度旗標

SQL_LOG_ERROR_VERBOSITY

啟用 PostgreSQL 的記錄錯誤詳細程度旗標

SQL_LOG_EXECUTOR_STATS_ENABLED

關閉 PostgreSQL 的記錄執行程式統計資料旗標

SQL_LOG_HOSTNAME_ENABLED

關閉 PostgreSQL 的記錄檔主機名稱旗標

SQL_LOG_LOCK_WAITS_DISABLED

為 PostgreSQL 執行個體啟用記錄鎖定等待旗標

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

關閉 PostgreSQL 的記錄陳述式執行時間下限旗標

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

啟用 PostgreSQL 的「記錄陳述式最低錯誤等級」旗標

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

無法使用

SQL_LOG_MIN_MESSAGE

啟用 PostgreSQL 的「記錄最少訊息」旗標

SQL_LOG_PARSER_STATS_ENABLED

關閉 PostgreSQL 的記錄剖析器統計資料旗標

SQL_LOG_PLANNER_STATS_ENABLED

關閉 PostgreSQL 的記錄規劃工具統計資料旗標

SQL_LOG_STATEMENT

啟用 PostgreSQL 的「記錄陳述式」旗標

SQL_LOG_TEMP_FILES

為 PostgreSQL 執行個體啟用「記錄暫存檔」旗標

SQL_NO_ROOT_PASSWORD

無法使用

SQL_PUBLIC_IP

封鎖 Cloud SQL 執行個體的公開 IP 位址

SQL_REMOTE_ACCESS_ENABLED

關閉 SQL Server 的遠端存取旗標

SQL_SCANNER

在 AlloyDB 執行個體上啟用 SSL 加密

SQL_SKIP_SHOW_DATABASE_DISABLED

為 MySQL 啟用「略過顯示資料庫」旗標

SQL_TRACE_FLAG_3625

為 SQL Server 啟用 3625 追蹤記錄資料庫旗標

SQL_USER_CONNECTIONS_CONFIGURED

請勿使用 SQL Server 的 User Connections 旗標

SQL_USER_OPTIONS_CONFIGURED

請勿使用 SQL Server 的 User Options 旗標

SQL_WEAK_ROOT_PASSWORD

無法使用

SSL_NOT_ENFORCED

強制規定所有連入資料庫連線使用 SSL

TOO_MANY_KMS_USERS

將 KMS 加密編譯金鑰使用者人數限制為三人

UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

在 Cloud Storage 值區上啟用統一值區層級存取權

USER_MANAGED_SERVICE_ACCOUNT_KEY

限制使用者自行管理的服務帳戶金鑰

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

無法使用

WEAK_SSL_POLICY

限制 Compute Engine 執行個體的不安全 SSL 政策

WEB_UI_ENABLED

不要使用 Kubernetes 網頁版 UI

WORKLOAD_IDENTITY_DISABLED

在叢集上啟用 Workload Identity Federation for GKE

後續步驟