Assured Workloads 폴더 위반 모니터링
Assured Workloads는 폴더의 제어 패키지 요구사항을 다음 세부정보와 비교하여 Assured Workloads 폴더의 규정 준수 위반을 적극적으로 모니터링합니다.
- 조직 정책: 각 Assured Workloads 폴더는 규정 준수를 보장하는 데 도움이 되는 특정 조직 정책 제약조건 설정으로 구성됩니다. 이러한 설정이 정책을 준수하지 않는 방식으로 변경되면 위반이 발생합니다. 자세한 내용은 모니터링된 조직 정책 위반 섹션을 참고하세요.
- 리소스: Assured Workloads 폴더의 조직 정책 설정에 따라 폴더 아래의 리소스(예: 유형 및 위치)가 제한될 수 있습니다. 자세한 내용은 모니터링 리소스 위반 섹션을 참고하세요. 리소스가 규정을 준수하지 않으면 위반이 발생합니다.
위반이 발생하면 이를 해결하거나 적절한 경우 예외를 만들 수 있습니다. 위반 상태는 다음 세 가지 중 하나일 수 있습니다.
- 해결되지 않음: 위반사항이 해결되지 않았거나 규정을 준수하지 않는 변경 사항이 폴더 또는 리소스에 적용되기 전에 예외가 허용되었습니다.
- 해결됨: 문제를 해결하기 위한 단계에 따라 위반이 해결되었습니다.
- 예외: 위반에 예외가 부여되었으며 비즈니스 근거가 제공되었습니다.
Assured Workloads 폴더를 만들면 Assured Workloads 모니터링이 자동으로 사용 설정됩니다.
시작하기 전에
필수 IAM 역할 및 권한
조직 정책 위반 또는 리소스 위반을 보려면 Assured Workloads 폴더에서 다음 권한이 포함된 IAM 역할을 부여받아야 합니다.
assuredworkloads.violations.get
assuredworkloads.violations.list
이러한 권한은 다음 Assured Workloads IAM 역할에 포함되어 있습니다.
- Assured Workloads 관리자(
roles/assuredworkloads.admin
) - Assured Workloads 편집자(
roles/assuredworkloads.editor
) - Assured Workloads 리더(
roles/assuredworkloads.reader
)
리소스 위반 모니터링을 사용 설정하려면 Assured Workloads 폴더에서 다음 권한이 포함된 IAM 역할을 부여받아야 합니다.
assuredworkloads.workload.update
: 이 권한은 다음과 같은 역할에 포함되어 있습니다.- Assured Workloads 관리자(
roles/assuredworkloads.admin
) - Assured Workloads 편집자(
roles/assuredworkloads.editor
)
- Assured Workloads 관리자(
resourcemanager.folders.setIamPolicy
: 이 권한은 다음과 같은 관리 역할에 포함되어 있습니다.- 조직 관리자(
roles/resourcemanager.organizationAdmin
) - 보안 관리자(
roles/iam.securityAdmin
)
- 조직 관리자(
규정 준수 위반에 대한 예외를 제공하려면 Assured Workloads 폴더에서 다음 권한이 포함된 IAM 역할을 부여받아야 합니다.
assuredworkloads.violations.update
: 이 권한은 다음과 같은 역할에 포함되어 있습니다.- Assured Workloads 관리자(
roles/assuredworkloads.admin
) - Assured Workloads 편집자(
roles/assuredworkloads.editor
)
- Assured Workloads 관리자(
또한 조직 정책 위반을 해결하고 감사 로그를 보려면 다음 IAM 역할을 부여해야 합니다.
- 조직 정책 관리자(
roles/orgpolicy.policyAdmin
) - 로그 뷰어(
roles/logging.viewer
)
위반 이메일 알림 설정
조직 규정 준수 위반이 발생하거나 해결되거나 예외가 발생한 경우 필수 연락처의 법무 카테고리 구성원에게 기본적으로 이메일이 전송됩니다. 이는 법무팀이 규정 준수 문제를 최신 상태로 유지해야 하기 때문입니다.
보안팀이 아니더라도 위반을 관리하는 팀이 법무 카테고리에 연락처로 추가되어야 합니다. 이렇게 하면 변경사항이 발생할 때 이메일 알림이 전송됩니다.
알림 사용 설정 또는 사용 중지
특정 Assured Workloads 폴더의 알림을 사용 설정 또는 사용 중지하려면 다음 안내를 따르세요.
Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다.
이름 열에서 알림 설정을 변경할 Assured Workloads 폴더의 이름을 클릭합니다.
Assured Workloads 모니터링 카드에서 알림 사용 설정 체크박스를 선택 해제하여 알림을 사용 중지하거나 폴더에서 알림을 사용 설정하도록 선택합니다.
Assured Workloads 폴더 페이지에서 알림이 사용 중지된 폴더에는
이메일 알림 모니터링 사용 중지됨이 표시됩니다.조직의 위반 보기
Google Cloud 콘솔과 gcloud CLI 모두에서 조직 전체의 위반을 확인할 수 있습니다.
콘솔
Google Cloud 콘솔의 규정 준수 섹션에 있는 Assured Workloads 페이지 또는 규정 준수 섹션의 모니터링 페이지에서 조직 전체의 위반 개수를 한눈에 확인할 수 있습니다.
Assured Workloads 페이지
Assured Workloads 페이지로 이동하면 위반을 한눈에 확인할 수 있습니다.
페이지 상단에 조직 정책 위반 및 리소스 위반 요약이 표시됩니다. 뷰 링크를 클릭하여 Monitoring 페이지로 이동합니다.
목록의 각 Assured Workloads 폴더에서 위반이 있는 경우 조직 정책 위반 및 리소스 위반 열에 표시됩니다. 해결되지 않은 위반에는 세부정보를 확인할 수 있습니다.
아이콘이 활성 상태로 표시되고 예외에는 아이콘이 활성 상태로 표시됩니다. 위반사항 또는 예외를 선택하여폴더에 리소스 위반 모니터링이 사용 설정되지 않은 경우 리소스 위반 모니터링 사용 설정 링크가 있는 업데이트 열에
아이콘이 활성화됩니다. 링크를 클릭하여 기능을 사용 설정합니다. Assured Workloads 폴더 세부정보 페이지에서 사용 설정 버튼을 클릭하여 사용 설정할 수도 있습니다.모니터링 페이지
모니터링 페이지로 이동하여 위반 사항을 자세히 확인하세요.
조직 정책 위반 및 리소스 위반이라는 두 개의 탭이 표시됩니다. 해결되지 않은 위반이 두 개 이상 있으면 탭에
아이콘이 활성 상태로 표시됩니다.두 탭 중 하나에서 해결되지 않은 위반이 기본적으로 표시됩니다. 자세한 내용은 아래의 위반 세부정보 보기 섹션을 참고하세요.
gcloud CLI
조직의 현재 규정 준수 위반을 나열하려면 다음 명령어를 실행하세요.
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
각 항목의 의미는 다음과 같습니다.
LOCATION은 Assured Workloads 폴더의 위치입니다.
ORGANIZATION_ID는 쿼리할 조직 ID입니다.
WORKLOAD_ID는 워크로드를 나열하여 찾을 수 있는 상위 워크로드 ID입니다.
응답에는 각 위반에 대한 다음 정보가 포함됩니다.
- 위반에 대한 감사 로그 링크
- 위반이 처음 발생한 시점
- 위반 유형
- 위반사항에 대한 설명
- 세부정보를 가져오는 데 사용할 수 있는 위반 이름
- 영향을 받는 조직 정책 및 관련 정책 제약조건
- 위반의 현재 상태 (유효한 값은 해결되지 않음, 해결됨 또는 예외)
선택적 플래그는 Cloud SDK 문서를 참조하세요.
위반 세부정보 보기
특정 규정 준수 위반 및 세부정보를 보려면 다음 단계를 수행합니다.
콘솔
Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.
모니터링 페이지에서 조직 정책 위반 탭이 기본적으로 선택됩니다. 이 탭에 조직의 Assured Workloads 폴더에서 해결되지 않은 모든 조직 정책 위반이 표시됩니다.
리소스 위반 탭에는 조직의 모든 Assured Workloads 폴더에 있는 리소스와 관련된 모든 해결되지 않은 위반 사항이 표시됩니다.
두 탭 중 하나에서빠른 필터 옵션을 사용하여 위반 상태, 위반 유형, 제어 패키지 유형, 위반 유형, 특정 폴더, 특정 조직 정책 제약조건 또는 특정 리소스 유형을 기준으로 필터링합니다.
두 탭 모두 기존 위반 사항이 있으면 위반 ID를 클릭하여 자세한 정보를 확인할 수 있습니다.
위반 세부정보 페이지에서 다음 태스크를 수행할 수 있습니다.
위반 ID를 복사합니다.
위반이 발생한 Assured Workloads 폴더와 위반이 처음 발생한 시간을 확인합니다.
다음을 포함하는 감사 로그를 확인합니다.
위반이 발생한 시간
위반의 원인인 수정된 정책과 수정한 사용자
예외가 부여된 경우 이를 부여한 사용자
해당되는 경우 위반이 발생한 특정 리소스를 확인합니다.
영향을 받는 조직 정책을 확인합니다.
규정 준수 위반 예외를 조회하고 추가합니다. 예외를 허용한 사용자와 사용자가 제공한 근거를 포함하여 폴더 또는 리소스에 대한 이전의 예외 목록이 표시됩니다.
- 해결 단계에 따라 예외를 해결합니다.
조직 정책 위반의 경우 다음을 확인할 수도 있습니다.
- 영향을 받는 조직 정책: 규정 준수 위반과 관련된 특정 정책을 보려면 정책 보기를 클릭합니다.
- 하위 리소스 위반: 리소스 기반 조직 정책 위반으로 인해 하위 리소스 위반이 발생할 수 있습니다. 하위 리소스 위반을 보거나 해결하려면 위반 ID를 클릭합니다.
리소스 위반의 경우 다음을 확인할 수도 있습니다.
- 상위 조직 정책 위반: 상위 조직 정책 위반이 하위 리소스 위반의 원인인 경우 상위 수준에서 해결해야 합니다. 상위 위반 세부정보를 보려면 위반 보기를 클릭합니다.
- 리소스 위반을 일으키는 특정 리소스에 대한 다른 위반도 표시됩니다.
gcloud CLI
규정 준수 위반 세부정보를 보려면 다음 명령어를 실행합니다.
gcloud assured workloads violations describe VIOLATION_PATH
여기서 VIOLATION_PATH의 형식은 다음과 같습니다.
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
위반마다 list 응답의 name
필드에 VIOLATION_PATH가 반환됩니다.
응답에는 다음 정보가 포함됩니다.
위반에 대한 감사 로그 링크
위반이 처음 발생한 시점
위반 유형
위반사항에 대한 설명
영향을 받는 조직 정책 및 관련 정책 제약조건
위반을 해결하기 위한 해결 단계
위반의 현재 상태 (유효한 값은
unresolved
,resolved
또는exception
)
선택적 플래그는 Cloud SDK 문서를 참조하세요.
위반 해결
위반을 해결하려면 다음 단계를 수행합니다.
콘솔
Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.
자세한 내용을 보려면 위반 ID를 클릭합니다.
해결 섹션에서 Google Cloud 콘솔 또는 CLI의 안내에 따라 문제를 해결합니다.
gcloud CLI
응답의 해결 단계에 따라 위반을 해결합니다.
위반 예외 추가
경우에 따라 위반 사항이 특정 상황에서 유효할 수 있습니다. 다음 단계를 완료하여 위반에 대한 하나 이상의 예외를 추가할 수 있습니다.
콘솔
Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.
위반 ID 열에서 예외를 추가할 위반을 클릭합니다.
예외 섹션에서 새로 추가를 클릭합니다.
예외에 대한 비즈니스 근거를 입력합니다. 모든 하위 리소스에 예외를 적용하려면 모든 기존 하위 리소스 위반에 적용 체크박스를 선택하고 제출을 클릭합니다.
필요에 따라 이 단계를 반복하고 새로 추가를 클릭하여 예외를 더 추가할 수 있습니다.
위반 상태가 예외로 설정됩니다.
gcloud CLI
위반 예외를 추가하려면 다음 명령어를 실행합니다.
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
여기서 BUSINESS_JUSTIFICATION는 예외의 이유이고 VIOLATION_PATH의 형식은 다음과 같습니다.
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
위반마다 list 응답의 name
필드에 VIOLATION_PATH가 반환됩니다.
명령어를 성공적으로 전송한 후 위반 상태가 예외로 설정됩니다.
조직 정책 위반 모니터링
Assured Workloads는 Assured Workloads 폴더에 적용된 제어 패키지에 따라 다양한 조직 정책 제약조건 위반을 모니터링합니다. 다음 목록을 사용하여 영향을 받는 제어 패키지를 기준으로 위반사항을 필터링하세요.
조직 정책 제약조건 | 위반 유형 | 설명 | 영향을 받는 제어 패키지 | ||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Cloud SQL 데이터에 대한 규정 미준수 액세스 | 액세스 |
규정을 준수하지 않는 Cloud SQL 진단 데이터에 대한 규정 미준수 액세스가 허용된 경우 발생합니다. 이 위반은
|
|
||||||||||||||||||||||||||||||||||||||
Compute Engine 데이터에 대한 규정 미준수 액세스 | 액세스 |
Compute Engine 인스턴스 데이터에 대한 규정 미준수 액세스가 허용된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 Cloud Storage 인증 유형 | 액세스 |
Cloud Storage에서 규정 미준수 인증 유형을 사용하도록 허용된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
Cloud Storage 버킷에 대한 규정 미준수 액세스 | 액세스 |
Cloud Storage에 대한 규정 미준수 불균일 버킷 수준 액세스가 허용된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
GKE 데이터에 대한 규정 미준수 액세스 | 액세스 |
GKE 진단 데이터에 대한 규정 미준수 액세스가 허용된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 Compute Engine 진단 기능 | 구성 |
규정 미준수 Compute Engine 진단 기능이 사용 설정된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 Compute Engine 전역 부하 분산 설정 | 구성 |
Compute Engine의 전역 부하 분산 설정에 규정 미준수 값이 설정된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 Compute Engine FIPS 설정 | 구성 |
Compute Engine에서 FIPS 설정에 규정 미준수 값이 설정된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 Compute Engine SSL 설정 | 구성 |
전역 자체 관리형 인증서에 규정 미준수 값이 설정된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
브라우저 설정의 규정 미준수 Compute Engine SSH | 구성 |
Compute Engine의 브라우저 기능에서 SSH에 규정 미준수 값이 설정된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 Cloud SQL 리소스 생성 | 구성 |
규정 미준수 Cloud SQL 리소스의 생성이 허용된 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
Cloud KMS 키 제한 누락 | 암호화 |
CMEK에 암호화 키를 제공하도록 프로젝트를 지정하지 않은 경우 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 CMEK 외 사용 설정 서비스 | 암호화 |
CMEK를 지원하지 않는 서비스가 워크로드에 사용 설정되어 있으면 발생합니다. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 Cloud KMS 보호 수준 | 암호화 |
규정 미준수 보호 수준이 Cloud Key Management Service(Cloud KMS)에서 사용되도록 지정된 경우 발생합니다. 자세한 내용은 Cloud KMS 참조를 확인하세요. 이 위반은 |
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 리소스 위치 | 리소스 위치 |
지정된 Assured Workloads 제어 패키지에 지원되는 서비스 리소스가 워크로드의 허용 리전 외부에서 생성되었거나 허용된 위치에서 허용되지 않는 위치로 이동되었을 때 발생합니다.
이 위반은
|
|
||||||||||||||||||||||||||||||||||||||
규정 미준수 서비스 | 서비스 사용량 |
사용자가 Assured Workloads 폴더에서 특정 Assured Workloads 제어 패키지가 지원하지 않는 서비스를 사용 설정하면 발생합니다. 이 위반은 |
|
모니터링 리소스 위반
Assured Workloads는 Assured Workloads 폴더에 적용된 제어 패키지에 따라 다양한 리소스 위반을 모니터링합니다. 모니터링되는 리소스 유형을 확인하려면 Cloud 애셋 인벤토리 문서의 지원되는 리소스 유형을 참고하세요. 다음 목록을 사용하여 영향을 받는 제어 패키지를 기준으로 위반사항을 필터링하세요.
조직 정책 제약조건 | 설명 | 영향을 받는 제어 패키지 | |||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
규정 미준수 리소스 위치 |
리소스 위치가 정책을 준수하지 않는 리전에 있으면 발생합니다. 이 위반은 |
|
|||||||||||||||||||||||||||||||||||||
폴더의 규정 미준수 리소스 |
Assured Workloads 폴더에 지원되지 않는 서비스의 리소스가 생성되면 발생합니다. 이 위반은 |
|
|||||||||||||||||||||||||||||||||||||
암호화되지 않은(비CMEK) 리소스 |
CMEK 암호화가 필요한 서비스에 CMEK 암호화 없이 리소스를 만들 경우 발생합니다. 이 위반은 |
|