使用 Compliance Manager 审核您的环境

借助 Compliance Manager，您可以针对框架运行审核流程，以便了解您的 Google Cloud 环境的合规状态。在环境审核流程中，您可以完成以下操作：

• 自动进行合规性评估，以评估您的 Google Cloud工作负载与您的法规遵从义务的契合程度。
• 收集证据以进行合规性审核。
• 找出不足之处，以便解决违规问题。

Compliance Manager 可以针对任何Google Cloud 文件夹或项目提供评估。

审核流程会创建以下制品，Compliance Manager 会将这些制品存储在 Cloud Storage 存储桶中：

• 一份提供以下信息的审核摘要报告：
  • 有关您的文件夹或项目与框架中的云控制措施相契合程度的概览。
  • 责任分配矩阵，可帮助您了解自己与 Google 之间的共担责任分配情况。
• 一份控制措施概览报告，用于描述针对特定云控制措施的评估结果。此报告会针对每项合规性检查提供评估详情，包括观测值及预期值。
• 用于创建相应报告的证据，包括针对每项云控制措施评估的所有资源（包含资产数据的原始转储）。

准备工作

• 如需获得审核环境所需的权限，请让您的管理员向您授予相应组织、文件夹或项目的以下 IAM 角色：

  • Compliance Manager Admin (roles/cloudsecuritycompliance.admin)
  • 在 Cloud Storage 存储桶所在的项目中，需为您授予以下任一角色：
    • Storage Admin (roles/storage.admin)
    • Storage Legacy Bucket Owner (roles/storage.legacyBucketOwner)
  • 如要注册组织，需为您授予以下任一角色：
    • Security Admin (roles/iam.securityAdmin)
    • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • 如要注册文件夹，需为您授予以下任一角色：
    • Security Admin (roles/iam.securityAdmin)
    • Organization Administrator (roles/resourcemanager.organizationAdmin)
    • Folder Admin (roles/resourcemanager.folderAdmin)
    • Folder IAM Admin (roles/resourcemanager.folderIamAdmin)

  如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

  能够注册组织的角色包含所需的 resourcemanager.organizations.setIamPolicy 权限。能够注册文件夹的角色包含所需的 resourcemanager.folders.setIamPolicy 权限。

  您也可以使用自定义角色或其他预定义角色来获取这些权限。

• 确定或创建用于存储审核数据的 Cloud Storage 存储桶。如需了解相关说明，请参阅创建存储桶。
• 将您要审核的框架应用于相应的组织、文件夹和项目。
• 如果限制资源位置，请验证组织政策是否包含需要在其中处理审核的位置。

注册资源

在审核环境之前，您必须先注册要审核的组织、文件夹或项目，并指定一个 Cloud Storage 存储桶。Compliance Manager 会将审核数据存储在该 Cloud Storage 存储桶中。

1. 在控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在审核（预览版）标签页中，点击审核设置。

4. 找到要审核的项目或文件夹。

5. 点击注册。 该设置有如下继承方式：

   • 如果您注册了某个组织，则可以审核该组织内的所有文件夹和项目。
   • 如果您注册了某个文件夹，则可以审核该文件夹内的文件夹和项目。

6. 选择要用于存储审核数据的 Cloud Storage 存储桶，或创建新的存储桶。

7. 点击注册。

更新资源注册信息

注册资源后，您可以更改 Cloud Storage 存储桶。

1. 在控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在审核（预览版）标签页中，点击审核设置。

4. 找到要更改的项目或文件夹。

5. 点击更新。

6. 修改存储桶信息。

7. 点击注册。

审核您的环境

完成以下任务，以开始审核文件夹或项目。

1. 在控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在审核（预览版）标签页中，点击运行审核。

4. 选择要审核的资源。每项审核只能选择一个文件夹或项目。

5. 选择一个已应用的框架。

6. 选择必须在哪个位置处理审核评估。如需查看受支持位置的列表，请参阅 Compliance Manager 的审核位置。如果您没有看到自己要查找的位置，请选择全球。点击下一步。

7. 查看评估计划。此计划会根据您选择的框架提供有关审核范围的信息。如需下载 OpenDocument Spreadsheet (ODS) 文件，请点击相应链接。

8. 点击下一步。

9. 选择要用来存储审核报告的 Cloud Storage 存储桶。点击完成。

10. 点击运行审核。审核可能需要一些时间才能完成。您可以刷新主审核页面来查看进度。

如需监控 Cloud Storage 存储桶内容发生的更改，您可以使用事件驱动型函数或 Pub/Sub 设置通知。

查看审核信息

审核完成后，Compliance Manager 会在目标存储桶中创建并存储相关制品，供您查看。

1. 在控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在审核（预览版）标签页中，如需查看审核摘要，请点击状态列中的链接。

   基本信息页面会显示有关适用范围内合规性控制措施以及自动化合规状态的信息：

   • 合规性：显示符合所有要求的配置。
   • 违规情况：显示针对给定控制措施检测到的错误配置。
   • 需要人工审核：显示需要您手动验证以确定其是否合规的配置。用户输入可用于证明合规性及流程控制。
   • 已跳过：显示 Compliance Manager 针对给定控制措施跳过审核的配置。

4. 根据您要查看的审核信息类型，按照相应标签页中的说明操作。

   审核摘要报告

   1. 如需查看状态详情，请点击查看。

   2. 如需导出审核摘要报告，请点击 file_upload 导出。

      审核摘要报告以 ODS 格式导出。

   控制措施概览报告

   您可以根据某项控制措施或某个状态查看相应控制措施概览报告。

   如需根据某项控制措施查看控制措施概览页面，请执行以下操作：

   1. 在过滤后的列表中，展开所需的控制措施。

   2. 点击相应的超链接。控制措施页面会显示相应的责任、发现结果和要求。

   如需根据某个状态查看控制措施概览报告，请执行以下操作：

   1. 点击所需状态对应的查看。

   2. 在控制措施列表中，点击所需的超链接。控制措施概览页面会显示相应的责任、发现结果和要求。

   如需导出控制措施概览报告，请点击 file_upload 导出。控制措施概览报告以 ODS 格式导出。

   证据

   您可以根据某项控制措施或某个状态查看相应证据。

   如需根据某项控制措施查看证据，请执行以下操作：

   1. 展开所需的控制措施。

   2. 如需查看针对每条规则的详细合规性评估，请点击相应的超链接。

   控制措施页面会显示相应的责任、发现结果和要求。

   如需根据某个状态查看证据，请执行以下操作：

   1. 点击所需状态对应的查看。

   2. 在控制措施列表中，点击所需的超链接。

   控制措施页面会显示相应的责任、发现结果和要求。

   如需查看某个发现结果的相关证据，请在过滤后的列表中点击点击此处可打开证据。系统随即会在一个单独的标签页中打开包含证据详情的对象详情页面。

   如需下载证据，请点击 download 下载。证据以 JSON 格式下载。

或者，您也可以直接从目标存储桶下载所需报告和证据。如需了解详情，请参阅从存储桶下载对象。

审核摘要报告

审核摘要报告是一份综合性报告，提供了所有合规性控制措施的概览性信息及责任分配矩阵，可帮助您了解 Google Cloud 文件夹或项目的合规状态。审核摘要报告采用 OpenDocument Spreadsheet (ODS) 格式提供。

在目标存储桶中，审核摘要报告采用以下命名惯例：

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

相关值如下所示：

• FRAMEWORK_NAME：框架的名称。
• TIMESTAMP：时间戳，用于指示报告的生成时间。
• UNIQUE_ID：报告的唯一 ID。

对于每种适用的控制措施类型，审核摘要报告中会填充以下字段：

控件类型	说明
控制措施信息	相应控制措施的说明和要求。
Google 责任	Google Cloud 责任及实现详情。
客户责任	您的责任及实现详情。
评估状态	相应控制措施的合规状态。状态可以是以下类型之一： 不合规：检测到合规性偏移。 合规：系统合规。 需要人工审核：已生成制品，但需要提供用户输入才能最终确定合规状态。 已跳过：Compliance Manager 无法评估相应云控制措施。
控制措施报告链接	可用来打开控制措施概览报告的链接。

控制措施概览报告

控制措施概览报告包含针对单个控制措施进行的合规性评估的详细说明。该报告会针对每项合规性检查提供评估详情，包括观测值及预期值。

在目标存储桶中，控制措施概览报告采用以下命名惯例：

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

相关值如下所示：

• FRAMEWORK：框架的名称。
• TIMESTAMP：报告生成时的时间戳。
• UNIQUE_ID：报告的唯一 ID。
• CONTROL_ID：控制措施的 ID。

在该报告中，日期采用 MM/DD/YYYY 格式。

控制措施概览报告的内容类似于以下示例：

控制措施 ID：COMPLIANT
服务名称	资源数量	状态	资源评估详情
			资源 ID	衡量字段	当前值	预期值	状态	证据资源 URI	证据时间戳	哪个项目/文件夹的证据	证据链接
相应控制措施适用范围内的服务总数	审核范围内的资源总数	法规遵从状态	资源标识符	要针对审核进行衡量的配置	观测值	合规值	各项合规状态		收集证据时的时间戳
product1.googleapis.com	2	合规	folder_123456	abc	10	>=10	合规	Resource 1	01/01/2025 12:55:16	Project 1	链接 1
				def	15	=15	合规	Resource 4	12/05/2024 13:55:16	Project 1	链接 4
			project_123456	xyz	20	=20	合规	Resource 2	12/05/2024 14:55:16	Project 1	链接 2
product2.googleapis.com	1	合规	project_123456	def	5	>=5	合规	Resource 3	12/05/2024 15:55:16	Project 1	链接 3

证据

证据包含针对每项控制措施评估的所有资源，包括资产数据的原始转储以及为生成输出而运行的命令。

在目标存储桶中，证据采用 JSON 格式，并遵循以下命名惯例：

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

相关值如下所示：

• FRAMEWORK_NAME：框架的名称。
• TIMESTAMP：报告生成时的时间戳。
• UNIQUE_ID：报告的唯一 ID。
• EVIDENCE_ID：证据的唯一 ID。

后续步骤

• 按照漏洞发现结果中的说明操作，解决审核发现结果相关的问题。