監控 Assured Workloads 資料夾的違規事項
Assured Workloads 會主動監控 Assured Workloads 資料夾是否違反法規,方法是將資料夾的控管機制套件與下列詳細資料進行比較:
- 機構政策:每個 Assured Workloads 資料夾都會設定特定的機構政策限制,有助於確保法規遵循。如果這些設定以不符合規定的方式變更,就會違反規定。詳情請參閱「監控的機構政策違規事項」一節。
- 資源:取決於 Assured Workloads 資料夾的機構政策設定,資料夾底下的資源可能會受到限制,例如類型和位置。詳情請參閱「監控的資源違規」一節。如果任何資源不符合規定,就會發生違規情形。
發生違規事件時,您可以解決問題,或在適當情況下為違規事件建立例外狀況。違規事項可能有下列三種狀態:
- 未解決:違規問題未解決,或是在資料夾或資源上進行不符合規定的變更前,先前已獲得例外狀況許可。
- 已解決:我們已採取下列步驟修正問題,解決違規問題。
- 例外狀況:違規事項已獲准例外處理,且已提供業務理由。
建立 Assured Workloads 資料夾時,系統會自動啟用 Assured Workloads 監控功能。
事前準備
必要的 IAM 角色和權限
如要查看違反機構政策或資源規定的事項,您必須在 Assured Workloads 資料夾中獲得 IAM 角色,並具備下列權限:
assuredworkloads.violations.getassuredworkloads.violations.list
下列 Assured Workloads IAM 角色具備這些權限:
- Assured Workloads 系統管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯器 (
roles/assuredworkloads.editor) - Assured Workloads Reader (
roles/assuredworkloads.reader)
如要啟用資源違規監控功能,您必須在 Assured Workloads 資料夾中獲得 IAM 角色,並具備下列權限:
assuredworkloads.workload.update:下列角色具備這項權限:- Assured Workloads 系統管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯器 (
roles/assuredworkloads.editor)
- Assured Workloads 系統管理員 (
resourcemanager.folders.setIamPolicy:這項權限包含在管理員角色中,例如:- 機構組織管理員 (
roles/resourcemanager.organizationAdmin) - 安全性管理員 (
roles/iam.securityAdmin)
- 機構組織管理員 (
如要針對法規遵循違規情形提供例外狀況,您必須在 Assured Workloads 資料夾中獲得 IAM 角色,且該角色具備下列權限:
assuredworkloads.violations.update:下列角色具備這項權限:- Assured Workloads 系統管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯器 (
roles/assuredworkloads.editor)
- Assured Workloads 系統管理員 (
此外,如要解決組織政策違規問題並查看稽核記錄,您必須授予下列 IAM 角色:
- 機構政策管理員 (
roles/orgpolicy.policyAdmin) - 記錄檢視器 (
roles/logging.viewer)
設定違規電子郵件通知
當機構發生或解決違反規定的情況,或是有例外狀況時,系統會預設傳送電子郵件給重要聯絡人中的法律類別成員。您的法務團隊需要隨時掌握任何法規遵循問題,因此這項行為是必要的。
管理違規事件的團隊 (不論是安全團隊或其他團隊) 也應將自己加入法律類別做為聯絡人。這樣一來,系統就能在發生變更時傳送電子郵件通知給他們。
啟用或停用通知
如要啟用或停用特定 Assured Workloads 資料夾的通知,請按照下列步驟操作:
前往 Google Cloud 控制台的「Assured Workloads」頁面:
在「Name」欄中,按一下要變更通知設定的 Assured Workloads 資料夾名稱。
在「Assured Workloads Monitoring」資訊卡中,取消勾選「Enable notifications」核取方塊,即可停用通知;勾選該核取方塊,則可為資料夾啟用通知。
在「Assured Workloads 資料夾」頁面上,已停用通知的資料夾會顯示「電子郵件通知已停用」。
查看貴機構的違規情形
您可以在Google Cloud 控制台和 gcloud CLI 中查看貴機構的違規事項。
主控台
您可以在Google Cloud 主控台的「法規遵循」專區的「Assured Workloads」頁面,或「法規遵循」專區的「監控」頁面,查看貴機構有多少違規事項。
Assured Workloads 頁面
前往「Assured Workloads」頁面,一覽違規事項:
頁面頂端會顯示機構政策違規和資源違規摘要。按一下「View」連結,前往「Monitoring」頁面。
清單中的每個 Assured Workloads 資料夾,都會在「機構政策違規」和「資源違規」欄中顯示任何違規事項。未解決的違規事項會顯示 圖示,例外狀況則會顯示 圖示。您可以選取違規事項或例外狀況,查看詳細資料。
如果資料夾未啟用資源違規事項監控功能,更新資料欄中會顯示 圖示,並附上「啟用資源違規事項監控」連結。按一下連結即可啟用這項功能。您也可以在 Assured Workloads 資料夾詳細資料頁面中,按一下「啟用」按鈕來啟用。
「監控」頁面
前往「監控」頁面,查看違規詳細資料:
畫面上會顯示兩個分頁:「機構政策違規事項」和「資源違規事項」。如果有超過一個未解決的違規事項,分頁上會顯示 圖示。
無論在哪個分頁,系統都會預設顯示未解決的違規事項。詳情請參閱下方的「查看違規詳細資料」一節。
gcloud CLI
如要列出機構目前的規範違規情形,請執行下列指令:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
其中:
LOCATION 是 Assured Workloads 資料夾的位置。
ORGANIZATION_ID 是查詢的機構 ID。
WORKLOAD_ID 是父項工作負載 ID,您可以列出工作負載來查看。
回應會包含每項違規的下列資訊:
- 違規事項的稽核記錄連結。
- 違規事件首次發生的時間。
- 違規類型。
- 違規事項說明。
- 違規名稱,可用於擷取更多詳細資料。
- 受影響的機構政策和相關政策限制。
- 違規事項目前的狀態。有效值為 unresolved、resolved 或 exception。
如需選用旗標,請參閱 Cloud SDK 說明文件。
查看違規詳情
如要查看特定法規遵循違規事項及其詳細資料,請完成下列步驟:
主控台
前往 Google Cloud 控制台的「Monitoring」頁面。
在「監控」頁面上,系統預設會選取「機構政策違規事項」分頁標籤。這個分頁會顯示機構內 Assured Workloads 資料夾中所有未解決的機構政策違規事項。
「Resource Violations」分頁會顯示機構中所有 Assured Workloads 資料夾中,與資源相關的所有未解決違規事項。
無論是哪個分頁,都可以使用「快速篩選器」選項,依據違規狀態、違規類型、控管機制套件類型、違規類型、特定資料夾、特定組織政策限制或特定資源類型篩選。
無論是哪個分頁,如果有現有違規事項,請按一下違規 ID 查看詳細資訊。
您可以在「違規詳細資料」頁面上執行下列工作:
複製違規 ID。
查看發生違規的 Assured Workloads 資料夾,以及首次發生違規的時間。
查看稽核記錄,其中包含:
違規發生的時間。
哪項政策遭到修改而導致違規,以及哪位使用者進行了修改。
如果已授予例外狀況,則會顯示授予例外狀況的使用者。
視情況查看發生違規行為的特定資源。
查看受影響的機構政策。
查看及新增違反規定例外狀況。系統會顯示資料夾或資源的先前例外狀況清單,包括授予例外狀況的使用者,以及使用者提供的理由。
- 請按照修正步驟解決例外狀況。
針對違反機構政策的情況,您還會看到下列資訊:
- 受影響的機構政策:如要查看與違反規定相關的具體政策,請按一下「查看政策」。
- 子項資源違規事項:違反資源型機構政策可能會導致子項資源違規事項。如要查看或解決子資源違規事項,請按一下「違規 ID」。
針對資源違規,您也可以看到下列資訊:
- 違反上層組織政策:如果違反上層組織政策導致子項資源違規,則必須在父項層級解決。如要查看父項違規事項的詳細資料,請按一下「查看違規事項」。
- 您也可以查看特定資源的其他違規事項,瞭解導致資源違規的原因。
gcloud CLI
如要查看法規遵循違規事項的詳細資料,請執行下列指令:
gcloud assured workloads violations describe VIOLATION_PATH
其中 VIOLATION_PATH 的格式如下:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每項違規的 list 回應 name 欄位都會傳回 VIOLATION_PATH。
回應中包含以下資訊:
違規事項的稽核記錄連結。
違規事件首次發生的時間。
違規類型。
違規事項說明。
受影響的機構政策和相關政策限制。
解決違規問題的修復步驟。
違規事項目前的狀態。有效值為
unresolved、resolved或exception。
如需選用旗標,請參閱 Cloud SDK 說明文件。
解決違規事項
如要修正違規情形,請完成下列步驟:
主控台
前往 Google Cloud 控制台的「Monitoring」頁面。
按一下違規 ID 即可查看詳細資訊。
在「修正」部分,請按照Google Cloud 控制台或 CLI 的操作說明解決問題。
gcloud CLI
請按照回覆中的修復步驟解決違規問題。
新增違規例外狀況
有時違規行為可能在特定情況下是合理的。您可以完成下列步驟,為違規內容新增一或多個例外狀況。
主控台
前往 Google Cloud 控制台的「Monitoring」頁面。
在「違規 ID」欄中,按一下要新增例外的違規。
在「例外狀況」部分中,按一下「新增」。
請輸入例外狀況的業務理由。如要將例外狀況套用至所有子項資源,請選取「套用至所有現有的子項資源違規事項」核取方塊,然後按一下「提交」。
如需新增其他例外狀況,請重複這些步驟,然後點選「新增」。
違規狀態現在已設為「例外狀況」。
gcloud CLI
如要為違規事項新增例外狀況,請執行下列指令:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
其中 BUSINESS_JUSTIFICATION 是例外狀況的原因,而 VIOLATION_PATH 則採用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每項違規的 list 回應 name 欄位都會傳回 VIOLATION_PATH。
成功傳送指令後,違規狀態會設為「例外」。
監控機構政策違規事項
Assured Workloads 會監控不同的機構政策限制違規事項,具體取決於套用至 Assured Workloads 資料夾的控管機制套件。請使用下列清單,依據受影響的控制項套件篩選違規項目。
| 機構政策限制 | 違規類型 | 說明 | 受影響的控管機制套件 | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 違規存取 Cloud SQL 資料 | 存取 |
當允許不符規定的存取權存取不符規定的 Cloud SQL 診斷資料時,就會發生這類事件。 這項違規是因為變更控制項套件的
|
|
||||||||||||||||||||||||||||||||||||||
| 違規存取 Compute Engine 資料 | 存取 |
當您允許存取不符合規定的 Compute Engine 執行個體資料時,就會發生這類錯誤。 這是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Cloud Storage 驗證類型 | 存取 |
當您允許不符合規定的驗證類型與 Cloud Storage 搭配使用時,就會發生此錯誤。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 違規存取 Cloud Storage 值區 | 存取 |
允許不符合規定的非統一 Cloud Storage 值區層級存取權時,就會發生此問題。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 違規存取 GKE 資料 | 存取 |
允許存取不符規定的 GKE 診斷資料時發生。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Compute Engine 診斷功能 | 設定 |
當您啟用不符合規定的 Compute Engine 診斷功能時,就會發生這個錯誤。 這是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Compute Engine 全域負載平衡設定 | 設定 |
當 Compute Engine 中的全域負載平衡設定已設為不符合規定的值時,就會發生此錯誤。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Compute Engine FIPS 設定 | 設定 |
當 Compute Engine 的 FIPS 設定已設為不符合規定的值時,就會發生這個錯誤。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Compute Engine SSL 設定 | 設定 |
當為全域自行管理憑證設定不符合規定的值時,就會發生這個錯誤。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 在瀏覽器設定中使用不符規定的 Compute Engine SSH | 設定 |
當您在 Compute Engine 中為瀏覽器中的 SSH 功能設定不符合規定的值時,就會發生此錯誤。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 建立不符合規範的 Cloud SQL 資源 | 設定 |
允許建立不符合規定的 Cloud SQL 資源時,就會發生此錯誤。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 缺少 Cloud KMS 金鑰限制 | 加密 |
當未指定任何專案提供 CMEK 的加密金鑰時,就會發生此錯誤。 這項違規是因為您變更了控制套件針對 |
|
||||||||||||||||||||||||||||||||||||||
| 不相容且未啟用 CMEK 的服務 | 加密 |
當工作負載啟用不支援 CMEK 的服務時,就會發生此問題。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Cloud KMS 防護等級 | 加密 |
當您指定非相容的保護層級,用於與 Cloud Key Management Service (Cloud KMS) 搭配使用時,就會發生此錯誤。詳情請參閱 Cloud KMS 參考資料 。 這項違規是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符規範的資源位置 | 資源地區 |
當特定 Assured Workloads 控管機制套件所支援服務的資源是在工作負載允許的區域外建立,或是從允許的位置移至不允許的位置時,就會發生此問題。
這項違規是因為變更控制套件的
|
|
||||||||||||||||||||||||||||||||||||||
| 不符規定的服務 | 服務使用情形 |
當使用者啟用 Assured Workloads 資料夾中特定 Assured Workloads 控管機制套件不支援的服務時,就會發生此錯誤。 這項違規是因為變更控制套件的 |
|
受控資源違規事項
Assured Workloads 會監控不同的資源違規情形,具體取決於套用至 Assured Workloads 資料夾的控管機制套件。如要查看受控的資源類型,請參閱 Cloud Asset Inventory 說明文件中的「支援的資源類型」。請使用下列清單,依據受影響的控制項套件篩選違規事項:
| 機構政策限制 | 說明 | 受影響的控管機制套件 | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 不符規範的資源位置 |
資源位置位於不符規定的區域時,就會發生此錯誤。 這項違規是因為
|
|
|||||||||||||||||||||||||||||||||||||
| 資料夾中的不符規範資源 |
在 Assured Workloads 資料夾中建立不支援服務的資源時,就會發生此錯誤。 這項違規是因為
|
|
|||||||||||||||||||||||||||||||||||||
| 未加密 (非 CMEK) 的資源 |
在需要 CMEK 加密的服務中,為資源建立未加密的 CMEK 加密時,就會發生此錯誤。 這項違規是因為
|
|