Configura i vincoli dei criteri dell'organizzazione per i log di flusso VPC
Questa pagina fornisce informazioni sui vincoli dei criteri dell'organizzazione che puoi configurare per le subnet nei log di flusso VPC.
Gli amministratori possono abilitare o disabilitare i log di flusso VPC. Per impostazione predefinita, non vengono imposti vincoli all'attivazione o alla disattivazione dei log di flusso VPC.
Un amministratore delle policy dell'organizzazione può utilizzare il vincolo
constraints/compute.requireVpcFlowLogs per richiedere che
i log di flusso VPC siano abilitati per tutte le subnet nell'ambito della policy con una
frequenza di campionamento specificata. Il criterio viene applicato durante la creazione di subnet o l'aggiornamento della configurazione dei log di flusso VPC sulle subnet. Le subnet preesistenti non sono interessate se le loro
configurazioni dei log di flusso VPC non vengono aggiornate.
Prima di iniziare
Autorizzazioni IAM
Il principal che crea i vincoli deve disporre del
ruolo di amministratore dei criteri dell'organizzazione
Administrator role
(roles/orgpolicy.policyAdmin).
Le entità che visualizzano i vincoli devono disporre dell'autorizzazione orgpolicy.policy.get
sulla risorsa appropriata. Ad esempio, il ruolo Visualizzatore
policy dell'organizzazione
(roles/orgpolicy.policyViewer) include l'autorizzazione orgpolicy.policy.get.
Sfondo dei criteri dell'organizzazione
Se non hai mai utilizzato i vincoli delle policy dell'organizzazione, consulta le seguenti pagine:
Pianificare i vincoli
Puoi creare vincoli ai seguenti livelli della gerarchia delle risorse:
- Organizzazione
- Cartella
- Progetto
Per impostazione predefinita, un vincolo creato in un nodo viene ereditato da tutti i nodi secondari. Tuttavia, un amministratore delle norme dell'organizzazione per una determinata cartella può decidere se una determinata cartella eredita dalle relative cartelle principali, pertanto l'ereditarietà non è automatica. Per saperne di più, consulta Ereditarietà in Informazioni sulla valutazione della gerarchia.
Frequenze di campionamento per i log di flusso VPC
Puoi utilizzare il vincolo constraints/compute.requireVpcFlowLogs per assicurarti
che le seguenti frequenze di campionamento siano
configurate sulle subnet.
| Valore criterio | Frequenza di campionamento |
|---|---|
ESSENTIAL |
Maggiore o uguale a 0,1 (10%) e inferiore a 0,5 (50%) |
LIGHT |
Maggiore o uguale a 0,5 (50%) e inferiore a 1,0 (100%) |
COMPREHENSIVE |
Uguale a 1,0 (100%) |
Questi valori dei criteri possono essere combinati. Consulta la tabella seguente per alcuni esempi.
| Frequenza di campionamento | Valori da includere nel vincolo |
|---|---|
| Almeno 0,1 (10%) | ESSENTIAL, LIGHT e COMPREHENSIVE |
| Almeno 0,5 (50%) | LIGHT e COMPREHENSIVE |
| 1.0 (100%) | COMPREHENSIVE |
Configura il vincolo dei log di flusso VPC
Console
Per saperne di più sulla configurazione di un vincolo utilizzando la consoleGoogle Cloud , consulta Personalizzazione delle policy per i vincoli di elenco.
Vai alla pagina della policy Richiedi policy predefinite per i log di flusso VPC nella consoleGoogle Cloud :
Fai clic su Modifica.
Nella pagina Modifica, seleziona un valore per Si applica a:
Eredita policy padre: se stai configurando policy per un progetto o una cartella, viene ereditata la policy dell'ambito padre. Se stai configurando i criteri per un'organizzazione, i criteri non vengono attivati.
Predefinito gestito da Google: disabilita il criterio, anche se è attivato nell'ambito principale.
Personalizza: consente di attivare e configurare il criterio per tutte le subnet nell'ambito corrente.
Per Applicazione policy, seleziona Sostituisci.
L'opzione Unisci a principale non è consentita per i log di flusso VPC.
Nella sezione Regole, fai clic su Aggiungi regola.
In Valori policy, seleziona Personalizzato.
Per i log di flusso VPC non sono consentiti altri valori.
In Tipo di policy, seleziona Consenti.
Nella sezione Valori personalizzati, inserisci uno dei valori che rappresenta la frequenza di campionamento che vuoi configurare.
Se devi specificare più di un valore per configurare la frequenza di campionamento che preferisci, fai clic su Nuovo valore criterio e inserisci il valore successivo. Ripeti l'operazione se devi specificare un terzo valore.
Fai clic su Salva.
gcloud
Per saperne di più sulla configurazione di un vincolo utilizzando Google Cloud CLI, consulta Configura l'applicazione nella risorsa organizzazione.
Recupera la policy attuale sulla risorsa dell'organizzazione utilizzando il comando
describe. Questo comando restituisce la policy applicata direttamente a questa risorsa. Se non è impostato un criterio, il comando restituisce un erroreNOT_FOUND.gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]Sostituisci quanto segue:
ID: l'ID dell'organizzazione, della cartella o del progetto a cui vuoi applicare il vincolo.
Imposta la policy per l'organizzazione utilizzando il comando
set-policy. Questo comando sovrascrive qualsiasi criterio attualmente associato alla risorsa.Crea un file temporaneo
/tmp/policy.yamlper archiviare la policy:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUESSostituisci quanto segue:
RESOURCE_TYPE: il tipo di risorsa a cui vuoi applicare la policy. Le opzioni valide sonoorganizations,foldersoprojects.ID: l'ID dell'organizzazione, della cartella o del progetto a cui vuoi applicare il vincolo.POLICY_VALUES: i valori che rappresentano la frequenza di campionamento che vuoi configurare. Puoi combinare più valori. Per saperne di più, consulta Tassi di campionamento per VPC Flow Logs.
Questo vincolo di esempio richiede una frequenza di campionamento di almeno il 10% a livello organizzativo:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVEQuesto vincolo di esempio richiede una frequenza di campionamento di almeno il 50% a livello organizzativo:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVEQuesto vincolo di esempio richiede una frequenza di campionamento del 100% a livello di organizzazione:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVEEsegui il comando
set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Visualizza la policy attualmente in vigore utilizzando
describe --effective. Questo comando restituisce la policy dell'organizzazione così come viene valutata a questo punto della gerarchia delle risorse con l'ereditarietà inclusa.gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
Effetti dell'impostazione di un requisito per i log di flusso VPC
La configurazione di un criterio dell'organizzazione con il vincolo
constraints/compute.requireVpcFlowLogs significa che potresti visualizzare
errori se crei una subnet o aggiorni la configurazione dei log di flusso VPC di
una subnet esistente e la configurazione non soddisfa i requisiti del
criterio.
Se visualizzi errori, potresti dover sapere come è configurato il vincolo per poter creare una configurazione valida. Se non disponi di autorizzazioni IAM sufficienti per visualizzare il vincolo, contatta l'amministratore dell'organizzazione.
Le subnet create prima dell'impostazione del criterio non sono interessate dal criterio, a condizione che la configurazione dei log di flusso VPC non venga aggiornata.
Effetti sulla creazione di subnet
Quando crei una nuova subnet nell'ambito del criterio, si applica quanto segue:
Se i log di flusso VPC sono abilitati in modo esplicito con una frequenza di campionamento che soddisfa i requisiti della policy, la subnet viene creata con i log di flusso VPC abilitati e la frequenza di campionamento richiesta.
Se i log di flusso VPC sono abilitati in modo esplicito con una frequenza di campionamento che non soddisfa i requisiti del criterio, viene restituito un errore e la subnet non viene creata.
Se i log di flusso VPC sono disabilitati in modo esplicito, viene restituito un errore e la subnet non viene creata.
Se i log di flusso VPC non sono impostati e la frequenza di campionamento non è impostata, viene creata una subnet con i log di flusso VPC abilitati e la frequenza di campionamento minima richiesta dalla norma. Ad esempio, se la policy è configurata con valori
LIGHTeCOMPREHENSIVE, la frequenza di campionamento è impostata su0.5(50%).
Effetti sugli aggiornamenti delle subnet
Quando aggiorni una subnet esistente nell'ambito della policy, si applica quanto segue:
Se l'aggiornamento abilita i log di flusso VPC o se i log di flusso VPC erano già abilitati e la frequenza di campionamento è impostata su un valore che soddisfa i requisiti del policy, la subnet viene aggiornata con i log di flusso VPC abilitati con la frequenza di campionamento richiesta.
Se l'aggiornamento attiva Log di flusso VPC o se Log di flusso VPC era già attivato e la frequenza di campionamento è impostata su un valore che non soddisfa i requisiti della norma, viene restituito un errore e la subnet non viene aggiornata.
Se l'aggiornamento disattiva i log di flusso VPC, viene restituito un errore e la subnet non viene aggiornata.
Se l'aggiornamento non abilita o disabilita i log di flusso VPC e la frequenza di campionamento non è impostata, il criterio viene ignorato e la subnet viene aggiornata.
Effetti sulla creazione della rete VPC in modalità automatica
Quando viene creata una rete VPC in modalità automatica, viene creata
automaticamente una subnet in ogni regione. Se la rete rientra nell'ambito di una policy di log di flusso VPC, i log di flusso VPC sono abilitati nelle subnet con la frequenza di campionamento minima definita dalla policy. Ad esempio, se la policy è
configurata con valori della policy pari a LIGHT e COMPREHENSIVE, la frequenza di campionamento
è impostata su 0.5 (50%).
Effetti sulla configurazione dei log di flusso VPC
Se una subnet rientra nell'ambito del criterio, il filtro dei log non è consentito per garantire che la configurazione dei log di flusso VPC soddisfi i requisiti del criterio.