合规管理器框架由云控制措施组成,可帮助您在云环境中满足组织的安全或法规要求。应用框架的过程分为两个步骤。首先,您必须确定企业需要哪些云控制措施来管理安全性、合规性和风险。然后,将包含这些云控制措施的框架部署到Google Cloud中的相应资源。本页可帮助您完成以下步骤:
评估哪个内置框架最符合您的法规和安全要求。您可以创建自己的自定义框架,但我们建议您从内置框架着手。
确定哪些内置云控制措施与您的业务要求相对应。您可以根据需要创建自定义云控制措施。
确定是将框架部署到您的 Google Cloud组织,还是部署到特定文件夹和项目。您只能向每个组织、文件夹或项目部署一个框架。合规管理器支持已启用应用的文件夹。
复制现有框架并进行修改,使其满足您的要求。如果需要,您可以创建自定义框架。
将框架部署到相应的组织、文件夹或项目。
准备工作
-
如需获得应用框架所需的权限,请让管理员向您授予组织的以下 IAM 角色:
-
Compliance Manager Admin (
roles/cloudsecuritycompliance.admin) -
查看发现结果信息中心:
Compliance Manager Viewer (
roles/cloudsecuritycompliance.viewer) -
如需部署包含基于组织政策的云控制措施的框架,则为以下角色之一:
-
Organization Policy Administrator (
roles/orgpolicy.policyAdmin) -
Assured Workloads Administrator (
roles/assuredworkloads.admin) -
Assured Workloads Editor (
roles/assuredworkloads.editor)
-
Organization Policy Administrator (
-
如需在部署框架时创建文件夹,则为以下角色之一:
-
Folder Admin (
roles/resourcemanager.folderAdmin) -
Folder Creator (
roles/resourcemanager.folderCreator)
-
Folder Admin (
-
如需在部署框架时创建项目,则为所有角色:
-
Project Billing Manager (
roles/billing.projectManager) -
Project Creator (
roles/resourcemanager.projectCreator) -
Project Deleter (
roles/resourcemanager.projectDeleter)
-
Project Billing Manager (
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
用于部署具有组织政策的框架的角色包含所需的orgpolicy.policies.create、orgpolicy.policies.update和orgpolicy.policies.get权限。用于创建框架的角色包含所需的
resourcemanager.folders.get、resourcemanager.folders.create和resourcemanager.folders.delete权限。用于创建项目的角色包含所需的
resourcemanager.projects.get、resourcemanager.projects.create、resourcemanager.projects.delete和resourcemanager.projects.createBillingAssignment权限。 -
Compliance Manager Admin (
查看框架
完成以下步骤,以查看内置框架或您已创建的其他框架的配置。
在 Google Cloud 控制台中,前往合规性页面。
如需查看所有可用的框架,请点击配置标签页。
该信息中心会显示可用的框架、简要说明、支持的平台以及应用了相应框架的资源。
如需查看特定框架的详细信息,请点击框架名称。
查看云控制措施
完成以下步骤,以查看内置云控制措施和您已创建的任何自定义云控制措施。
在 Google Cloud 控制台中,前往合规性页面。
在配置标签页中,点击云控制措施。系统会显示可用的云控制措施。
该信息中心包含以下信息:哪些框架包含云控制措施,以及云控制措施应用于多少资源(组织、文件夹和项目)。
如需查看云控制措施的详细信息,请点击相应控制措施名称。
创建自定义云控制措施
自定义云控制措施仅适用于一种资源类型。唯一支持的数据类型是 Cloud Asset Inventory 资源。
在 Google Cloud 控制台中,前往合规性页面。
在配置标签页中,点击云控制措施。系统会显示可用的云控制措施列表。
使用 Gemini 或手动创建云控制措施:
使用 Gemini
让 Gemini 为您生成云控制措施。根据您的提示,Gemini 会提供唯一标识符、名称、关联的检测逻辑和可能的修复步骤。
查看建议并进行任何必要的更改。
保存自定义云控制措施。
手动创建
在云控制措施 ID 中,为您的控制措施提供唯一标识符。
输入名称和说明,以帮助贵组织的用户了解自定义云控制措施的用途。
可选:为控制措施选择类别。点击继续。
为您的自定义云控制措施选择一种可用的资源类型。
以通用表达式语言 (CEL) 格式为您的云控制措施提供检测逻辑。
借助 CEL 表达式,您可以定义要如何评估资源的属性。如需了解详情和示例,请参阅为自定义云控制措施编写规则。 点击继续。
选择适当的发现结果严重程度。
编写修复说明,以便贵组织中的突发事件响应人员和管理员能够解决该云控制措施的所有相关发现结果。点击继续。
查看您输入的内容,然后点击创建。
创建框架
确定哪些云控制措施适用于组织内或者特定文件夹或项目内的资源后,您就可以创建框架了。您可以创建自定义框架,也可以复制现有框架并对其进行修改。
在 Google Cloud 控制台中,前往合规性页面。
在配置标签页中,点击创建自定义框架。
完成下列操作之一:
如需使用现有框架,请完成以下操作:
选择从现有框架开始。
选择要复制的框架。
点击添加。
如需创建自定义框架,请选择开始新建。
为您的框架输入名称、唯一标识符和说明。点击 Continue。
如果您要复制现有框架,系统会显示现有框架中包含的云控制措施列表。
如需添加所需的云控制措施,请完成以下操作:
如需添加现有云控制措施,请点击添加云控制措施。选择您需要的所有云控制措施,然后点击添加。
如需创建自定义云控制措施,请点击创建自定义云控制措施。如需了解相关说明,请参阅创建自定义云控制措施。
点击继续。
添加云控制措施所需的任何其他参数。
点击创建。
部署框架
将框架部署到组织、文件夹或项目,以便您可以使用框架的云控制措施来控制和监控这些资源。您可以向每个组织、文件夹或项目部署多个框架。
文件夹和项目通过 Google Cloud 资源层次结构继承框架。因此,如果您在组织级和项目级部署框架,则这两个框架中的所有云控制措施都将应用于项目中的资源。如果云控制措施定义存在任何差异,项目中的资源将使用较低级别的云控制措施。例如,如果云控制措施规则在组织级设置为“允许”,而在项目级设置为“拒绝”,则项目级设置“拒绝”会应用于项目中的资源。
作为最佳实践,我们建议您在组织级别部署一个框架,其中包含可应用于整个企业的云控制措施。然后,您可以将更严格的框架部署于需要它们的文件夹和项目。
在 Google Cloud 控制台中,前往合规性页面。
在配置标签页中,对于要部署的框架,依次点击 更多操作 > 应用于资源。
选择以下一个选项:
如需仅监控偏移,请选择监控。
如需监控偏移并主动防止违规行为,请选择监控和预防。
选择要将框架部署到的资源。您可以选择现有的组织、文件夹或项目。如果您选择主动预防违规行为,则可以创建一个新文件夹或项目,并将框架部署到该文件夹或项目。
完成下列操作之一:
- 如果您选择了监控,请验证相关信息,然后点击监控。
如果您选择了监控和防范,请完成以下操作:
- 点击下一步。查看云控制措施和模式。
- 点击继续。
- 如果显示,请验证某些云控制措施所需的其他信息。
- 点击下一步。
- 查看您的选择,然后点击强制执行。
部署框架后,您可以监控环境是否偏离了您定义的云控制措施。Security Command Center 会将偏移实例报告为发现结果,您可以查看、过滤和解决这些发现结果。在您部署框架后,与云控制措施相关的发现结果大约需要 6 小时才会显示。
此预览版不支持移除框架部署。如果不再需要某个框架,您可以忽略其发现结果。如需查看相关说明,请参阅在 Security Command Center 中忽略发现结果。