הגדרת אילוצים של מדיניות הארגון לגבי VPC Flow Logs

בדף הזה מוסבר על האילוצים של מדיניות הארגון שאפשר להגדיר עבור רשתות משנה ביומני תנועה של VPC.

אדמינים יכולים להפעיל או להשבית את יומני הזרימה של VPC. כברירת מחדל, לא מוטלות מגבלות על הפעלה או השבתה של יומני זרימה של VPC.

אדמין של מדיניות הארגון יכול להשתמש באילוץ constraints/compute.requireVpcFlowLogs כדי לדרוש שהתכונה 'יומני תנועה של VPC' תופעל בכל רשתות המשנה בהיקף המדיניות עם שיעור דגימה שצוין. המדיניות נאכפת כשיוצרים רשתות משנה או כשמעדכנים את ההגדרה של יומני הזרימה של ה-VPC ברשתות משנה. אם לא מעדכנים את ההגדרות של יומני התנועה ב-VPC, לא תהיה השפעה על רשתות משנה קיימות.

לפני שמתחילים

הרשאות IAM

לחשבון המשתמש שיוצר את האילוצים צריך להיות התפקיד אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin).

לחשבונות המשתמש שצופים באילוצים צריכה להיות ההרשאה orgpolicy.policy.get במשאב המתאים. לדוגמה, התפקיד Organization Policy Viewer‏ (roles/orgpolicy.policyViewer) כולל את ההרשאה orgpolicy.policy.get.

רקע על מדיניות הארגון

אם זאת הפעם הראשונה שאתם עובדים עם אילוצים של מדיניות הארגון, כדאי לעיין בדפים הבאים:

תכנון המגבלות

אפשר ליצור אילוצים ברמות הבאות של היררכיית המשאבים:

  • ארגון
  • תיקייה
  • פרויקט

כברירת מחדל, אילוץ שנוצר בצומת עובר בירושה לכל צמתי הצאצאים. עם זאת, אדמין של מדיניות הארגון בתיקייה מסוימת יכול להחליט אם התיקייה יורשת את המדיניות מהתיקיות הראשיות שלה, כך שהירושה לא מתבצעת באופן אוטומטי. מידע נוסף מופיע בקטע ירושה במאמר הסבר על הערכת ההיררכיה.

תדירויות הדגימה של VPC Flow Logs

אפשר להשתמש באילוץ constraints/compute.requireVpcFlowLogs כדי לוודא שקצבי הדגימה הבאים מוגדרים ברשתות משנה.

ערך המדיניות תדירות הדגימה
ESSENTIAL גדול מ-0.1 (10%) או שווה לו, וקטן מ-0.5 (50%)
LIGHT גדול מ-0.5 (50%) או שווה לו, וקטן מ-1.0 (100%)
COMPREHENSIVE שווה ל-1.0 (100%)

אפשר לשלב בין ערכי המדיניות האלה. בטבלה הבאה מוצגות כמה דוגמאות.

תדירות הדגימה ערכים שיש לכלול באילוץ
‫0.1 (10%) לפחות ESSENTIAL, LIGHT וגם COMPREHENSIVE
לפחות 0.5 (50%) LIGHT וגם COMPREHENSIVE
‫1.0 (100%) COMPREHENSIVE

הגדרת האילוץ VPC Flow Logs

המסוף

מידע נוסף על הגדרת אילוץ באמצעותGoogle Cloud המסוף זמין במאמר התאמה אישית של מדיניות לאילוצי רשימה.

  1. נכנסים לדף המדיניות Require predefined policies for VPC flow logs במסוףGoogle Cloud :

    מעבר למדיניות הארגון

  2. לוחצים על Edit.

  3. בדף עריכה, בוחרים ערך לאפשרות חל על:

    • ירושת המדיניות מהמשאב הראשי: אם מגדירים מדיניות לפרויקט או לתיקייה, המדיניות של ההיקף הראשי עוברת בירושה. אם אתם מגדירים מדיניות לארגון, המדיניות לא מופעלת.

    • ברירת מחדל בניהול Google: המדיניות מושבתת, גם אם היא מופעלת בהיקף של ההורה.

    • התאמה אישית: מאפשרת להפעיל ולהגדיר את המדיניות לכל רשתות המשנה בהיקף הנוכחי.

  4. בקטע אכיפת מדיניות, בוחרים באפשרות החלפה.

    אסור להשתמש באפשרות מיזוג עם ההורה ביומני זרימת תנועה של VPC.

  5. בקטע כללים, לוחצים על הוספת כלל.

  6. בשדה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

    אי אפשר להשתמש בערכים אחרים ביומני תנועה של VPC.

  7. בקטע סוג המדיניות, בוחרים באפשרות אישור.

  8. בקטע Custom values (ערכים בהתאמה אישית), מזינים אחד מהערכים שמייצגים את שיעור הדגימה שרוצים להגדיר.

    אם צריך לציין יותר מערך אחד כדי להגדיר את שיעור הדגימה הרצוי, לוחצים על ערך מדיניות חדש ומזינים את הערך הבא. חוזרים על הפעולה שוב אם צריך לציין ערך שלישי.

  9. לוחצים על Save.

gcloud

מידע נוסף על הגדרת אילוץ באמצעות Google Cloud CLI מופיע במאמר הגדרת אכיפה במשאב הארגון.

  1. מריצים את הפקודה describe כדי לקבל את המדיניות הנוכחית במשאב הארגון. הפקודה הזו מחזירה את המדיניות שחלה ישירות על המשאב הזה. אם לא מוגדרת מדיניות, הפקודה מחזירה שגיאה NOT_FOUND.

    gcloud org-policies describe \
    compute.requireVpcFlowLogs \
    [ --organization=ID | --folder=ID | --project=ID ]

    מחליפים את מה שכתוב בשדות הבאים:

    • ID: המזהה של הארגון, התיקייה או הפרויקט שרוצים להחיל עליהם את האילוץ.

  2. מגדירים את המדיניות בארגון באמצעות הפקודה set-policy. הפקודה הזו מחליפה כל מדיניות שמצורפת כרגע למשאב.

    1. יוצרים קובץ זמני /tmp/policy.yaml לאחסון המדיניות:

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
 spec:
   rules:
   - values:
       allowedValues:
       - POLICY_VALUES

      מחליפים את מה שכתוב בשדות הבאים:

      • RESOURCE_TYPE: סוג המשאב שעליו רוצים להחיל את המדיניות. האפשרויות התקינות הן organizations,‏ folders או projects.

      • ID: המזהה של הארגון, התיקייה או הפרויקט שרוצים להחיל עליהם את האילוץ.

      • POLICY_VALUES: הערכים שמייצגים את קצב הדגימה שרוצים להגדיר. אפשר לשלב כמה ערכים. מידע נוסף זמין במאמר בנושא שיעורי דגימה של יומני תעבורה ב-VPC.

      האילוץ בדוגמה הזו מחייב שיעור דגימה של לפחות 10% ברמת הארגון:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - ESSENTIAL
     - LIGHT
     - COMPREHENSIVE

      בדוגמה הזו, האילוץ מחייב שיעור דגימה של לפחות 50% ברמת הארגון:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - LIGHT
     - COMPREHENSIVE

      בדוגמה הזו, האילוץ מחייב שיעור דגימה של 100% ברמת הארגון:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - COMPREHENSIVE

    2. מריצים את הפקודה set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml

  3. כדי לראות את המדיניות האפקטיבית הנוכחית, משתמשים בפקודה describe --effective. הפקודה הזו מחזירה את מדיניות הארגון כפי שהיא מוערכת בשלב הזה בהיררכיית המשאבים, כולל ירושה.

    gcloud org-policies describe \
    compute.requireVpcFlowLogs --effective \
    [ --organization=ID | --folder=ID | --project=ID ]

ההשפעות של הגדרת דרישה ל-VPC Flow Logs

הגדרת מדיניות ארגונית עם האילוץ constraints/compute.requireVpcFlowLogs יכולה לגרום לשגיאות אם יוצרים רשת משנה או מעדכנים את ההגדרה של יומני התעבורה של VPC ברשת משנה קיימת, וההגדרה לא עומדת בדרישות של המדיניות.

אם מוצגות שגיאות, יכול להיות שתצטרכו לדעת איך המגבלה מוגדרת כדי שתוכלו ליצור הגדרה תקינה. אם אין לכם מספיק הרשאות IAM כדי לראות את האילוץ, פנו לאדמין בארגון.

רשתות משנה שנוצרו לפני הגדרת המדיניות לא מושפעות מהמדיניות, כל עוד לא מתבצע עדכון של ההגדרה של יומני התנועה ב-VPC שלהן.

השפעות על יצירת רשתות משנה

כשיוצרים רשת משנה חדשה בהיקף המדיניות, חלים הכללים הבאים:

  • אם VPC Flow Logs מופעל באופן מפורש עם שיעור דגימה שעומד בדרישות המדיניות, נוצרת רשת המשנה עם VPC Flow Logs מופעל ושיעור הדגימה המבוקש.

  • אם הפעלתם במפורש את VPC Flow Logs עם קצב דגימה שלא עומד בדרישות המדיניות, תוחזר שגיאה ורשת המשנה לא תיווצר.

  • אם VPC Flow Logs מושבת באופן מפורש, מוחזרת שגיאה ורשת המשנה לא נוצרת.

  • אם לא מוגדר VPC Flow Logs וגם לא מוגדר שיעור הדגימה, נוצרת רשת משנה עם VPC Flow Logs מופעל ושיעור הדגימה המינימלי שנדרש על ידי המדיניות. לדוגמה, אם המדיניות מוגדרת עם ערכי מדיניות של LIGHT ו-COMPREHENSIVE, קצב הדגימה מוגדר ל-0.5 (50%).

ההשפעה על עדכוני רשתות משנה

כשמעדכנים רשת משנה קיימת בהיקף המדיניות, חלים התנאים הבאים:

  • אם העדכון מאפשר VPC Flow Logs או אם VPC Flow Logs כבר הופעל, וקצב הדגימה מוגדר לערך שעומד בדרישות של המדיניות, אז רשת המשנה מתעדכנת עם VPC Flow Logs שמופעל עם קצב הדגימה המבוקש.

  • אם העדכון מפעיל את היומנים של תעבורת ה-VPC או שהיומנים של תעבורת ה-VPC כבר הופעלו, וקצב הדגימה מוגדר לערך שלא עומד בדרישות של המדיניות, מוחזרת שגיאה ורשת המשנה לא מתעדכנת.

  • אם העדכון משבית את VPC Flow Logs, מוחזרת שגיאה ורשת המשנה לא מתעדכנת.

  • אם העדכון לא מפעיל או משבית את יומני התנועה של VPC וגם לא מגדיר את קצב הדגימה, המדיניות מתעלמת מהעדכון ורשת המשנה מתעדכנת.

השפעות על יצירת רשת VPC במצב אוטומטי

כשיוצרים רשת VPC במצב אוטומטי, נוצרת אוטומטית רשת משנה בכל אזור. אם הרשת נמצאת בהיקף של מדיניות VPC Flow Logs, האפשרות VPC Flow Logs מופעלת ברשתות המשנה עם קצב הדגימה המינימלי שמוגדר במדיניות. לדוגמה, אם המדיניות מוגדרת עם ערכי המדיניות LIGHT ו-COMPREHENSIVE, קצב הדגימה מוגדר ל-0.5 (50%).

השפעות על ההגדרה של VPC Flow Logs

אם רשת משנה נמצאת בהיקף של המדיניות, סינון היומנים אסור כדי לוודא שההגדרה של יומני התנועה של ה-VPC עומדת בדרישות המדיניות.

המאמרים הבאים