Configura i vincoli dei criteri dell'organizzazione per i log di flusso VPC
Questa pagina fornisce informazioni sui vincoli dei criteri dell'organizzazione che puoi configurare per i log di flusso VPC.
Gli amministratori possono attivare o disattivare i log di flusso VPC. Per impostazione predefinita, non vengono imposte limitazioni sull'attivazione o sulla disattivazione dei log di flusso VPC.
Un amministratore dei criteri dell'organizzazione può utilizzare il vincolo constraints/compute.requireVpcFlowLogs per richiedere che i log di flusso VPC siano abilitati per tutte le subnet nell'ambito del criterio con una frequenza di campionamento specificata. Il criterio viene applicato durante la creazione
delle subnet o l'aggiornamento della configurazione dei log di flusso VPC sulle
subnet. Le subnet esistenti non sono interessate se le loro configurazioni dei log di flusso VPC non vengono aggiornate.
Prima di iniziare
Autorizzazioni IAM
Il principale che crea i vincoli deve disporre del ruolo Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin).
Le entità che visualizzano i vincoli devono disporre dell'autorizzazione orgpolicy.policy.get
sulla risorsa appropriata. Ad esempio, il ruolo Visualizzatore delle norme dell'organizzazione (roles/orgpolicy.policyViewer) include l'autorizzazione orgpolicy.policy.get.
Sfondo dei criteri dell'organizzazione
Se non hai mai utilizzato i vincoli delle norme dell'organizzazione, consulta le seguenti pagine:
Pianifica i vincoli
Puoi creare vincoli ai seguenti livelli della gerarchia delle risorse:
- Organizzazione
- Cartella
- Progetto
Per impostazione predefinita, una limitazione creata in un nodo viene ereditata da tutti i nodi secondari. Tuttavia, un amministratore delle norme dell'organizzazione per una determinata cartella può decidere se una determinata cartella eredita dalle cartelle principali, pertanto l'eredità non è automatica. Per ulteriori informazioni, consulta la sezione Eredità in Informazioni sulla valutazione della gerarchia.
Frequenze di campionamento per i log di flusso VPC
Puoi utilizzare il vincolo constraints/compute.requireVpcFlowLogs per assicurarti che le seguenti frequenze di campionamento siano configurate nelle sottoreti.
| Valore criterio | Frequenza di campionamento |
|---|---|
ESSENTIAL |
Maggiore o uguale a 0,1 (10%) e minore di 0,5 (50%) |
LIGHT |
Superiore o uguale a 0,5 (50%) e inferiore a 1,0 (100%) |
COMPREHENSIVE |
Uguale a 1,0 (100%) |
Questi valori dei criteri possono essere combinati. Consulta la tabella seguente per alcuni esempi.
| Frequenza di campionamento | Valori da includere nel vincolo |
|---|---|
| Almeno 0,1 (10%) | ESSENTIAL, LIGHT e COMPREHENSIVE |
| Almeno 0,5 (50%) | LIGHT e COMPREHENSIVE |
| 1,0 (100%) | COMPREHENSIVE |
Configura il vincolo dei log di flusso VPC
Console
Per ulteriori informazioni sulla configurazione di una limitazione utilizzando la console Google Cloud, consulta Personalizzare i criteri per le limitazioni degli elenchi.
Vai alla pagina del criterio Richiedi criteri predefiniti per i log di flusso VPC nella console Google Cloud:
Fai clic su Modifica.
Nella pagina Modifica, seleziona un valore per Si applica a:
Eredità del criterio del gruppo principale: se configuri i criteri per un progetto o una cartella, il criterio dell'ambito principale viene ereditato. Se configuri i criteri per un'organizzazione, il criterio non è attivato.
Predefinito gestito da Google: disattiva il criterio, anche se è attivato nel contesto principale.
Personalizza: consente di attivare e configurare il criterio per tutte le reti sottorinate nell'ambito corrente.
Per Applicazione criterio, seleziona Sostituisci.
L'opzione Unisci con elemento principale non è consentita per i log di flusso VPC.
Nella sezione Regole, fai clic su Aggiungi regola.
Per Valori criterio, seleziona Personalizzato.
Per i log di flusso VPC non sono consentiti altri valori.
Per Tipo di criterio, seleziona Consenti.
Nella sezione Valori personalizzati, inserisci uno dei valori che rappresenta la frequenza di campionamento che vuoi configurare.
Se devi specificare più di un valore per configurare la tasso di campionatura che preferisci, fai clic su Nuovo valore criterio e inserisci il valore successivo. Ripeti l'operazione se devi specificare un terzo valore.
Fai clic su Salva.
gcloud
Per ulteriori informazioni sulla configurazione di una limitazione utilizzando Google Cloud CLI, consulta Configurare l'applicazione delle norme nella risorsa dell'organizzazione.
Recupera il criterio corrente per la risorsa dell'organizzazione utilizzando il comando
describe. Questo comando restituisce il criterio applicato direttamente a questa risorsa. Se non è impostato un criterio, il comando restituisce un erroreNOT_FOUND.gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]Sostituisci quanto segue:
ID: l'ID dell'organizzazione, della cartella o del progetto a cui vuoi applicare il vincolo.
Imposta il criterio nell'organizzazione utilizzando il comando
set-policy. Questo comando sovrascrive qualsiasi criterio attualmente associato alla risorsa.Crea un file temporaneo
/tmp/policy.yamlper archiviare il criterio:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUESSostituisci quanto segue:
RESOURCE_TYPE: il tipo di risorsa a cui vuoi applicare il criterio. Le opzioni valide sonoorganizations,foldersoprojects.ID: l'ID dell'organizzazione, della cartella o del progetto a cui vuoi applicare il vincolo.POLICY_VALUES: i valori che rappresentano la frequenza di campionamento che vuoi configurare. Puoi combinare più valori. Per ulteriori informazioni, consulta Frequenze di campionamento per i log di flusso VPC.
Questo vincolo di esempio richiede una frequenza di campionamento di almeno il 10% a livello di organizzazione:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVEQuesto vincolo di esempio richiede una frequenza di campionamento di almeno il 50% a livello di organizzazione:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVEQuesto vincolo di esempio richiede una frequenza di campionamento del 100% a livello di organizzazione:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVEEsegui il comando
set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio attualmente in vigore utilizzando
describe --effective. Questo comando restituisce il criterio dell'organizzazione così come viene valutato in questo punto nella gerarchia delle risorse con l'eredità inclusa.gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
Effetti dell'impostazione di un requisito per i log di flusso VPC
Se configuri un criterio dell'organizzazione con il vincolo constraints/compute.requireVpcFlowLogs, potresti visualizzare errori se crei una subnet o aggiorni la configurazione dei log di flusso VPC di una subnet esistente e la configurazione non soddisfa i requisiti del criterio.
Se vedi errori, potresti dover sapere come è configurato il vincolo per poter creare una configurazione valida. Se non disponi di autorizzazioni IAM sufficienti per visualizzare la limitazione, contatta l'amministratore della tua organizzazione.
Le subnet create prima dell'impostazione del criterio non sono interessate dal criterio, a condizione che la loro configurazione dei log di flusso VPC non venga aggiornata.
Effetti sulla creazione delle subnet
Quando crei una nuova subnet nell'ambito del criterio, si applica quanto segue:
Se i log di flusso VPC sono abilitati esplicitamente con una frequenza di campionamento che soddisfa i requisiti della policy, la subnet viene creata con i log di flusso VPC abilitati e la frequenza di campionamento richiesta.
Se i log di flusso VPC sono attivati esplicitamente con una frequenza di campionamento che nonsoddisfa i requisiti del criterio, viene restituito un errore e la subnet non viene creata.
Se i log di flusso VPC sono disabilitati esplicitamente, viene restituito un errore e la sottorete non viene creata.
Se i log di flusso VPC non sono impostati e non è impostata nemmeno la frequenza di campionamento, viene creata una sottorete con i log di flusso VPC abilitati e la frequenza di campionamento minima richiesta dal criterio. Ad esempio, se il criterio è configurato con valori di criterio
LIGHTeCOMPREHENSIVE, la frequenza di campionamento è impostata su0.5(50%).
Effetti sugli aggiornamenti delle subnet
Quando aggiorni una subnet esistente nell'ambito del criterio, si applica quanto segue:
Se l'aggiornamento attiva i log di flusso VPC o se questi erano già attivati e la frequenza di campionamento è impostata su un valore che soddisfa i requisiti del criterio, la subnet viene aggiornata con i log di flusso VPC abilitati con la frequenza di campionamento richiesta.
Se l'aggiornamento attiva i log di flusso VPC o se questi erano già attivati e la frequenza di campionamento è impostata su un valore che non soddisfa i requisiti del criterio, viene restituito un errore e la subnet non viene aggiornata.
Se l'aggiornamento disattiva i log di flusso VPC, viene restituito un errore e la subnet non viene aggiornata.
Se l'aggiornamento non attiva o disattiva i log di flusso VPC e anche la frequenza di campionamento non è impostata, il criterio viene ignorato e la subnet viene aggiornata.
Effetti sulla creazione della rete VPC in modalità automatica
Quando viene creata una rete VPC in modalità automatica, viene creata automaticamente una subnet in ogni regione. Se la rete rientra nell'ambito di un
policy dei log di flusso VPC, i log di flusso VPC vengono abilitati nelle subnet con la
frequenza di campionamento minima definita dal policy. Ad esempio, se il criterio è configurato con valori LIGHT e COMPREHENSIVE, la frequenza di campionamento è impostata su 0.5 (50%).