Organisationsrichtlinie im Probelaufmodus erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Organisationsrichtlinie im Probelaufmodus verwenden, um zu überwachen, wie sich eine Richtlinienänderung auf Ihre Arbeitsabläufe auswirken würde, bevor sie erzwungen wird.

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden protokolliert, die entsprechenden Aktionen werden jedoch nicht abgelehnt.

Hinweise

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus verwenden möchten, muss die Abrechnung für Ihr Google Cloud Projekt aktiviert sein. Informationen dazu, wie Sie prüfen können, ob die Abrechnung für ein Projekt aktiviert ist, finden Sie unter Abrechnungsstatus Ihrer Projekte prüfen.

Weitere Informationen zu Organisationsrichtlinien und Einschränkungen sowie zu ihrer Funktionsweise finden Sie unter Einführung in den Organisationsrichtliniendienst.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Sie können die Verwaltung von Organisationsrichtlinien delegieren, indem Sie der Rollenbindung des Administrators für Organisationsrichtlinien IAM-Bedingungen hinzufügen. Wenn Sie steuern möchten, für welche Ressourcen ein Hauptkonto Organisationsrichtlinien verwalten kann, können Sie die Rollenbindung an ein bestimmtes Tag binden. Weitere Informationen finden Sie unter Einschränkungen verwenden.

Beschränkungen

Die einzigen Einschränkungen für Organisationsrichtlinien, die in Probelauf-Organisationsrichtlinien verwendet werden können, sind:

Der Versuch, eine Organisationsrichtlinie im Probelaufmodus mit einer anderen Einschränkung zu erstellen, führt zu einem Fehler.

Organisationsrichtlinie im Probelaufmodus erstellen

Listenparameter verwenden

Sie können eine Organisationsrichtlinie im Probebetriebsmodus für eine Einschränkung mit derGoogle Cloud -Konsole oder der Google Cloud CLI erstellen. Die folgenden Beispiele zeigen, wie Sie eine Organisationsrichtlinie im Probebetrieb erstellen, mit der die Auswirkungen der verwalteten Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes geprüft werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Verwendung der Protokollweiterleitung einschränken aus der Liste aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Testlaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Erzwingung die Option An aus.

  9. Wählen Sie unter Parameter die Option Bearbeiten aus.

  10. Wählen Sie im Bereich Parameterwerte bearbeiten die Option Benutzerdefiniert aus.

  11. Geben Sie im Feld Nutzerdefinierte Werte den Wert EXTERNAL ein und klicken Sie dann auf Speichern.

  12. Klicken Sie auf Änderungen testen, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

  13. Klicken Sie auf Probelaufrichtlinie festlegen, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Sie können die Live-Richtlinie auch festlegen, indem Sie auf Richtlinie festlegen klicken.

Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen, indem Sie den Tab Probelauf einer Einschränkung für die Organisationsrichtlinie aufrufen.

Für Projekte, auf die eine Organisationsrichtlinie im Probelaufmodus angewendet wird, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Bei dieser Organisationsrichtlinie werden Verstöße in den Audit-Logs so angezeigt, als ob die Einschränkung Verwendung der Protokollweiterleitung einschränken erzwungen wird, um nur Bereitstellungen für die Protokollweiterleitung von EXTERNAL zuzulassen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probebetrieb erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec definiert wird. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes
  dryRunSpec:
    rules:
    - enforce: true
      parameters:
       allowedSchemes:
        - EXTERNAL

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Mit dieser Organisationsrichtlinie wird die Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes nicht erzwungen, aber in den Audit-Logs werden Verstöße so angezeigt, als ob sie erzwungen würde.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie für den Probebetrieb in derselben YAML-Datei festlegen, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes
spec:
  rules:
  - values:
      allowedValues:
      - INTERNAL
      - EXTERNAL

dryRunSpec:
  rules:
  - values:
      allowedValues:
      - INTERNAL

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Probelaufmodus zu erzwingen. Verwenden Sie das Flag --update-mask, um eine vorhandene Organisationsrichtlinie im Probelaufmodus mit neuen Einschränkungen zu aktualisieren. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • UPDATE_MASK mit spec, um nur die Live-Richtlinie zu aktualisieren, oder dryRunSpec, um nur die Organisationsrichtlinie im Testlaufmodus zu aktualisieren. Sie können auch * verwenden, um sowohl das Feld spec als auch das Feld dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Sie können mit dem Befehl org-policies describe prüfen, ob die Organisationsrichtlinie im Probelaufmodus festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Mit dieser Organisationsrichtlinie wird die Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes so erzwungen, dass alle Werte zulässig sind. In den Audit-Logs werden Verstöße jedoch so angezeigt, als wären nur INTERNAL-Protokollweiterleitungen zulässig.

Boolesche Regeln verwenden

Sie können eine Organisationsrichtlinie im Probebetriebsmodus für eine Einschränkung mit booleschen Regeln über die Google Cloud Console oder die Google Cloud CLI erstellen. Die folgenden Beispiele zeigen, wie Sie eine Organisationsrichtlinie im Probebetrieb erstellen, mit der die Auswirkungen einer benutzerdefinierten Organisationsrichtlinie geprüft werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die benutzerdefinierte Organisationsrichtlinie aus, die Sie erzwingen möchten.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Erzwingung die Option An aus und klicken Sie auf Fertig.

  9. Klicken Sie auf Probelaufrichtlinie festlegen, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Wenn Sie überprüft haben, dass die Organisationsrichtlinie im Probelaufmodus wie vorgesehen funktioniert, können Sie die aktive Richtlinie festlegen, indem Sie auf Richtlinie festlegen klicken.

Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen, indem Sie den Tab Probelauf einer Einschränkung für die Organisationsrichtlinie aufrufen.

Für Projekte, auf die eine Organisationsrichtlinie im Probelaufmodus angewendet wird, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Bei dieser Organisationsrichtlinie werden in den Audit-Logs Verstöße so angezeigt, als ob die benutzerdefinierte Organisationsrichtlinie erzwungen würde.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probebetrieb erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec definiert wird. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
  dryRunSpec:
    rules:
    - enforce: true

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

  • CONSTRAINT_NAME durch den Namen Ihrer benutzerdefinierten Einschränkung. Beispiel: custom.disableGkeAutoUpgrade.

Mit dieser Organisationsrichtlinie wird die benutzerdefinierte Einschränkung nicht erzwungen, in den Audit-Logs werden Verstöße jedoch so angezeigt, als ob dies der Fall wäre.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie im Probebetriebsmodus in derselben YAML-Datei festlegen, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: false

dryRunSpec:
  rules:
  - enforce: true

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Probelaufmodus zu erzwingen. Verwenden Sie das Flag --update-mask, um eine vorhandene Organisationsrichtlinie im Probelaufmodus mit neuen Einschränkungen zu aktualisieren. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • UPDATE_MASK mit spec, um nur die Live-Richtlinie zu aktualisieren, oder dryRunSpec, um nur die Organisationsrichtlinie im Testlaufmodus zu aktualisieren. Sie können auch * verwenden, um sowohl das Feld spec als auch das Feld dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Sie können mit dem Befehl org-policies describe prüfen, ob eine Organisationsrichtlinie im Probelaufmodus festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Mit dieser Organisationsrichtlinie wird die benutzerdefinierte Einschränkung nicht erzwungen. In den Audit-Logs werden jedoch Verstöße gegen die benutzerdefinierte Einschränkung angezeigt.

Organisationsrichtlinie im Probelaufmodus aus einer aktiven Richtlinie erstellen

Sie können eine vorhandene Organisationsrichtlinie als Ausgangspunkt für eine Organisationsrichtlinie im Probelaufmodus verwenden. Das kann sinnvoll sein, um zu sehen, welche Auswirkungen eine Änderung an Ihrer bestehenden Richtlinie auf Ihre Umgebung hätte.

Sie können eine Organisationsrichtlinie im Probebetriebsmodus auf Grundlage einer vorhandenen Richtlinie mit der Google Cloud -Konsole oder der Google Cloud CLI erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl eine Ressource aus, für die die Einschränkung Ressourcendienstnutzung einschränken bereits konfiguriert ist.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Nutzung von Ressourcendiensten einschränken aus der Liste aus.

  4. Wähle den Tab Livestreams aus.

  5. Klicken Sie auf Richtlinie verwalten.

  6. Klicken Sie auf Regel hinzufügen.

  7. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  8. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  9. Geben Sie in das Feld Benutzerdefinierte Werte appengine.googleapis.com ein.

  10. Klicken Sie auf Fertig und dann auf Dry-Run-Richtlinie festlegen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probebetriebsmodus auf Grundlage einer vorhandenen aktiven Organisationsrichtlinie erstellen möchten, rufen Sie die aktuelle Richtlinie für die Ressource mit dem Befehl org-policies describe ab. Beispiel:

gcloud org-policies describe gcp.restrictServiceUsage \
  --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die Projekt-ID oder Projektnummer des Projekts, in dem diese Organisationsrichtlinie konfiguriert ist.

Die Ausgabe sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  spec:
    etag: CJy93KEGEKCJw/QB
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
  updateTime: '2023-04-12T21:11:56.512804Z'

Kopieren Sie die Ausgabe dieses Befehls in eine temporäre Datei. Bearbeiten Sie diese Datei, um die Felder etag und updateTime zu entfernen und das Feld spec in dryRunSpec zu ändern. Nehmen Sie alle Änderungen an der Einschränkungskonfiguration vor, die Sie im Probelaufmodus in Ihrer Organisationsrichtlinie testen möchten.

Die fertige YAML-Datei sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
        - appengine.googleapis.com

Verwenden Sie org-policies set policy mit dem Flag --update-mask, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zu Ihrer temporären YAML-Datei für die Organisationsrichtlinie.

Organisationsrichtlinie im Probelaufmodus löschen

Sie können eine Organisationsrichtlinie im Probebetriebsmodus mit der Google Cloud -Konsole oder der Google Cloud CLI löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Nutzung von Ressourcendiensten einschränken aus der Liste aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie löschen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus löschen möchten, erstellen Sie eine YAML-Datei, in der die Organisationsrichtlinie ohne Probelaufspezifikation definiert ist. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  spec:
    rules:
    - values:
        allowedValues:
        - container.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Verwenden Sie dann den Befehl org-policies set policy mit dem Flag --update-mask, das auf dryRunSpec gesetzt ist. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Dadurch wird die vorhandene Organisationsrichtlinie aktualisiert, um die Dry-Run-Spezifikation zu entfernen. Der Live-Teil der Spezifikation wird ignoriert.

Wenn Sie sowohl aktive Organisationsrichtlinien als auch Organisationsrichtlinien im Probebetriebsmodus gleichzeitig löschen möchten, verwenden Sie den Befehl org-policies delete. Beispiel:

gcloud org-policies delete CONSTRAINT_NAME \
  --RESOURCE_TYPE=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME durch den Namen der Einschränkung, die Sie löschen möchten. Beispiel: gcp.restrictServiceUsage.

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Effektive Auswertung von Organisationsrichtlinien im Probelaufmodus

Organisationsrichtlinien im Probelaufmodus werden ähnlich wie andere Organisationsrichtlinien übernommen. Wenn eine Organisationsrichtlinie im Probebetriebsmodus für eine Organisationsressource festgelegt ist, wird sie von allen untergeordneten Ressourcen übernommen, sofern sie nicht auf einer niedrigeren Ebene in der Hierarchie überschrieben wird.

Bei der Auswertung der geltenden Richtlinie wird das Ergebnis der Organisationsrichtlinien angezeigt, die für diese Ressource zusammengeführt werden. Daher werden Anpassungen an der aktiven Organisationsrichtlinie im Probelaufmodus in der geltenden Organisationsrichtlinie berücksichtigt, wenn die Richtlinie für den Probelaufmodus übernommen und nicht lokal festgelegt wird.

Wenn Sie die aktive Organisationsrichtlinie eines Projekts ändern, wird auch die effektive Organisationsrichtlinie im Probelaufmodus geändert.

Stellen Sie sich beispielsweise eine Organisationsressource Organization A mit einer aktiven Organisationsrichtlinie vor, die auf enforced: false festgelegt ist, und eine Organisationsrichtlinie im Probebetriebsmodus, die auf enforced: true festgelegt ist. Für eine untergeordnete Ressource, Folder B, wird die aktive Organisationsrichtlinie ebenfalls auf enforced: false festgelegt und die Organisationsrichtlinie wird im Probelaufmodus übernommen. Auf Folder B bedeutet die festgelegte Live-Richtlinie, dass die effektive Richtlinienauswertung der Organisationsrichtlinie im Probelaufmodus ebenfalls enforce: false ist. Dadurch wird die Organisationsrichtlinie im Probelaufmodus, die in der übergeordneten Organisation festgelegt ist, überschrieben.

Eine untergeordnete Ressource von Folder B, Project X, legt die Live-Richtlinie auf enforced: true fest. Ähnlich wie bei Folder B ist die effektive Auswertung der Organisationsrichtlinie im Probelaufmodus für Project X enforced: true, da die Live-Richtlinie festgelegt ist.

Eine weitere untergeordnete Ressource von Folder B, Project Y, legt die Organisationsrichtlinie im Probelaufmodus auf enforced: true fest. Sie übernimmt die Organisationsrichtlinie von der übergeordneten Ressource. Die effektive Evaluierung ist also enforced: false für die aktive Richtlinie und enforced: true für die Organisationsrichtlinie im Probebetrieb.

Ressource Organisationsrichtlinie für Live-Inhalte festlegen Gültige Organisationsrichtlinie für Live-Inhalte Organisationsrichtlinie im Probelaufmodus festlegen Effektive Organisationsrichtlinie im Probelaufmodus
Organisation A enforced: false enforced: false enforced: true enforced: true
Ordner B enforced: false enforced: false Keine enforced: false
Ordner C Keine enforced: false Keine enforced: true
Project X enforced: true enforced: true Keine enforced: true
Projekt Y Keine enforced: false enforced: true enforced: true

Auswirkungen einer Organisationsrichtlinie im Probelaufmodus analysieren

Eine Organisationsrichtlinie im Probelaufmodus blockiert keine Vorgänge, wenn sie erzwungen wird. Um zu sehen, welche Auswirkungen Ihre Organisationsrichtlinie hätte, können Sie die Audit-Logs für Organisationsrichtlinien prüfen.

Audit-Logs für Organisationsrichtlinien für aktive Organisationsrichtlinien und Organisationsrichtlinien im Probelaufmodus werden basierend darauf generiert, ob der Vorgang durch die für die jeweilige Ressource erzwungenen Richtlinien zulässig oder verboten ist. In der folgenden Tabelle werden die Situationen beschrieben, in denen ein Audit-Log für Organisationsrichtlinien generiert wird:

Aktive Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus Audit-Log generiert
Zulassen Zulassen Nein
Zulassen Ablehnen Audit-Log nur im Probelaufmodus
Ablehnen Zulassen Audit-Log im Live- und Probelaufmodus
Ablehnen Ablehnen Audit-Log im Live- und Probelaufmodus

Verstöße gegen Organisationsrichtlinien im Probelaufmodus werden in den Audit-Logs zusammen mit Verstößen im Live-Modus angezeigt. Beispiel:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "status": {
      "code": 7,
      "message": "PERMISSION_DENIED"
    },
    "authenticationInfo": {},
    "requestMetadata": {
      "callerIp": "1.2.3.4",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "appengine.googleapis.com",
    "methodName": "google.api.appengine.v1.appengine.apps.services.get",
    "resourceName": "projects/sur-project-test-3",
    "metadata": {
      "constraint": "constraints/gcp.restrictServiceUsage",
      "checkedValue": "appengine.googleapis.com",
      "liveResult": "ALLOWED",
      "@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
      "dryRunResult": "DENIED"
    }
  },
  "insertId": "1f2bvoxcmg1",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "sur-project-test-3",
      "service": "appengine.googleapis.com",
      "method": "google.api.appengine.v1.appengine.apps.services.get"
    }
  },
  "timestamp": "2022-06-16T19:42:58.244990928Z",
  "severity": "WARNING",
  "logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
  "receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}

Mit dem Log-Explorer können Sie nur nach Verstößen gegen Organisationsrichtlinien im Probebetriebsmodus suchen.

Console

In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud -Projekt, Ihren Ordner oder Ihre Organisation abrufen:

  1. Rufen Sie in der Google Cloud Console die Seite Logging > Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie ein vorhandenes Google Cloud Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp policy aus.

    • Geben Sie im Bereich Abfrage Folgendes ein: protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"

    Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, lesen Sie die Informationen zur Fehlerbehebung.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn die Abfrage beispielsweise eine Projekt-ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf den aktuell ausgewählten Projektnamen beziehen.

Führen Sie den folgenden Befehl aus, um Audit-Logeinträge für Verstöße gegen Organisationsrichtlinien im Probebetriebsmodus zu lesen:

gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \
      protoPayload.metadata.liveResult = "ALLOWED" \
    --RESOURCE_TYPE=RESOURCE_ID \

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organization, folder oder project.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Fügen Sie Ihrem Befehl das Flag --freshness hinzu, um Logs zu lesen, die mehr als einen Tag alt sind.

Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read.

Wenn Ihre Organisation viele Projekte hat, können Sie aggregierte Senken verwenden, um die Audit-Log-Einträge aus allen Projekten Ihrer Organisation zusammenzufassen und an eine BigQuery-Tabelle weiterzuleiten. Weitere Informationen zum Erstellen aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.