本頁說明如何使用 Policy Controller 資訊主頁,查看政策涵蓋範圍和叢集違規情形。
如果您是 IT 管理員和作業人員,希望透過提供及維護自動化稽核或強制執行功能,確保雲端平台中執行的所有資源符合機構法規遵循規定,並設定快訊及監控 IT 系統的效能和安全漏洞,歡迎參閱本頁內容。如要進一步瞭解我們在 Google Cloud 內容中提及的常見角色和範例工作,請參閱「常見的 GKE Enterprise 使用者角色和工作」。
透過 Google Cloud 控制台查看資訊主頁,瞭解政策涵蓋範圍。資訊主頁會顯示下列資訊:
- 機群中已安裝 Policy Controller 的叢集數量 (包括未註冊的叢集)。
- 已安裝 Policy Controller 且含有政策違規事項的叢集數量。
- 每個強制執行動作套用至叢集的限制數量。
如果您使用 Policy Controller 套裝組合,可以根據一或多個套裝組合中的標準,查看法規遵循情況總覽。這份總覽會匯總機群層級的資料,並納入未註冊的叢集 (預覽版)。
事前準備
請確認叢集已註冊至機群,且已安裝 Policy Controller。
如要取得使用 Policy Controller 資訊主頁所需的權限,請要求管理員授予下列 IAM 角色:
- 機群所在專案的 GKE Hub 檢視者 (
roles/gkehub.viewer) - 在機群中含有叢集的每個專案中,都具有 Monitoring 檢視者 (
roles/monitoring.viewer) 角色
如要進一步瞭解如何授予角色,請參閱「管理存取權」。
- 機群所在專案的 GKE Hub 檢視者 (
查看 Policy Controller 狀態
您可以在 Google Cloud 控制台中查看政策涵蓋範圍的相關資訊。
-
在 Google Cloud 控制台中,前往「Posture Management」(狀態管理) 專區下方的 GKE Enterprise「Policy」(政策) 頁面。
在「資訊主頁」分頁中,查看 Policy Controller 涵蓋範圍總覽,包括下列資訊:
如要查看叢集中違反政策的詳細資訊,請前往「違規」分頁:
在「查看依據」部分,選取下列任一選項:
- 限制:查看叢集中所有違規限制的平面清單。
- 命名空間:查看有違規事項的限制,並依含有違規資源的命名空間整理。
- 資源類型:查看違規限制,並依違規資源分類。
在任何檢視畫面中,選取要查看的限制名稱。
「詳細資料」分頁會顯示違規事項的相關資訊,包括建議採取的解決措施。
「受影響的資源」分頁會顯示哪些資源受到限制條件評估,以及哪些資源違反政策。
在 Security Command Center 中查看政策發現項目
安裝 Policy Controller 後,您可以在 Security Command Center 中查看違規政策。 您可以在同一處查看 Google Cloud 資源和 Kubernetes 資源的安全防護機制。您必須在機構中啟用 Security Command Center,並使用 Standard 或 Premium 方案。
在 Security Command Center 中,違反政策的行為會顯示為 Misconfiguration 發現項目。每項發現的類別和後續步驟,與限制說明和補救步驟相同。
如要進一步瞭解如何在 Security Command Center 中使用 Policy Controller,請參閱「Policy Controller 安全漏洞發現項目」。