启用 Compliance Manager 并配置对 VPC Service Controls 服务边界的支持,以便您可以将框架应用于 Google Cloud组织。
准备工作
在启用 Compliance Manager 之前,请完成以下任务。
-
如需获得启用 Compliance Manager 所需的权限,请让您的管理员向您授予组织的以下 IAM 角色:
-
Organization Policy Administrator (
roles/orgpolicy.policyAdmin) -
Security Center Admin Editor (
roles/securitycenter.adminEditor)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
-
Organization Policy Administrator (
启用合规管理器
完成以下步骤,在组织级启用 Compliance Manager:
您可以使用以下方法之一启用 Compliance Manager:
场景 说明 您尚未激活 Security Command Center,或者使用的是 Security Command Center 标准方案,但想使用 Security Command Center 高级方案。 通过激活 Security Command Center 高级方案来启用 Compliance Manager。 您尚未激活 Security Command Center,但想使用 Security Command Center 企业方案。 通过激活 Security Command Center 企业方案来启用 Compliance Manager。 您之前已激活 Security Command Center 高级方案,现在想要启用 Compliance Manager。 使用设置页面启用 Compliance Manager。 您之前已激活 Security Command Center 企业方案,现在想要启用 Compliance Manager。 使用激活 Compliance Manager 页面启用 Compliance Manager。 如需详细了解 Security Command Center 层级,请参阅 Security Command Center 服务层级。
Compliance Manager 不支持客户管理的加密密钥 (CMEK)。
启用 Compliance Manager 后,系统还会启用以下服务:
- Sensitive Data Protection,以使用数据敏感度信号进行默认数据风险评估。
- 组织级 Event Threat Detection(Security Command Center 的一部分)。
- Data Security Posture Management,适用于数据安全框架。
- (预览版)AI Protection,适用于 AI 安全框架。
启用 Compliance Manager 时,系统会创建 Cloud Security Compliance 服务代理 (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com)。Compliance Manager 会使用此服务代理来访问您组织中的资源。
对于 Security Command Center 高级方案,框架不会自动应用于组织。
对于 Security Command Center 企业方案,系统会自动将以下框架应用于组织:
- AI 保护
- 数据安全和隐私权基本框架
后续步骤
- 为合规用户配置 IAM 角色。
- 配置对 VPC Service Controls 的支持。
- 管理框架。
- 配置 Data Security Posture Management。
- (预览版)配置 AI Protection。