設定虛擬私有雲流量記錄的組織政策限制

本頁面提供有關組織政策限制的資訊,您可以為子網路設定這些限制,以便在虛擬私有雲流量記錄中使用。

系統管理員可以啟用或停用虛擬私有雲流量記錄。根據預設,啟用或停用虛擬私有雲流量記錄時,系統不會強制規定任何限制。

組織政策管理員可以使用 constraints/compute.requireVpcFlowLogs 限制,要求在政策範圍內,以指定的取樣率為所有子網路啟用 VPC 流量記錄。在建立子網路更新子網路的虛擬私有雲流量記錄設定時,系統會強制執行這項政策。如果未更新虛擬私有雲流量記錄設定,現有的子網路不會受到影響。

事前準備

IAM 權限

建立限制的實體必須具有機構政策管理員角色 (roles/orgpolicy.policyAdmin)。

查看限制條件的主體必須具備適當資源的 orgpolicy.policy.get 權限。舉例來說,機構政策檢視者角色 (roles/orgpolicy.policyViewer) 包含 orgpolicy.policy.get 權限。

機構政策背景

如果您之前未使用過機構政策限制,請參閱下列頁面:

規劃限制條件

您可以在下列資源階層層級建立限制:

  • 機構
  • 資料夾
  • 專案

根據預設,在節點建立的限制會由所有子節點繼承。不過,特定資料夾的機構政策管理員可以決定該資料夾是否要繼承父項,因此繼承並非自動作業。詳情請參閱「瞭解階層評估」一文中的「繼承」。

虛擬私有雲流量記錄的取樣率

您可以使用 constraints/compute.requireVpcFlowLogs 限制條件,確保在子網路上設定下列取樣率

政策值 取樣率
ESSENTIAL 大於或等於 0.1 (10%) 且小於 0.5 (50%)
LIGHT 大於或等於 0.5 (50%) 且小於 1.0 (100%)
COMPREHENSIVE 等於 1.0 (100%)

這些政策值可以合併使用。請參閱下表中的範例。

取樣率 要納入限制的值
至少 0.1 (10%) ESSENTIALLIGHTCOMPREHENSIVE
至少 0.5 (50%) LIGHTCOMPREHENSIVE
1.0 (100%) COMPREHENSIVE

設定虛擬私有雲流量記錄限制

主控台

如要進一步瞭解如何使用Google Cloud 控制台設定限制,請參閱「自訂清單限制的政策」。

  1. 前往Google Cloud 主控台的「必須為虛擬私有雲流量記錄檔提供預先定義政策」政策頁面:

    前往機構政策

  2. 按一下 [編輯]

  3. 在「Edit」頁面中,選取「Applies to」的值:

    • 繼承父項政策:如果您要為專案或資料夾設定政策,系統會繼承父項範圍的政策。如果您要為機構設定政策,系統不會啟用政策。

    • Google 代管的預設值:即使在父項範圍中啟用政策,也會停用該政策。

    • 自訂:可讓您為目前範圍內的所有子網路啟用及設定政策。

  4. 在「政策強制執行」部分,選取「取代」

    Merge with parent 選項不適用於虛擬私有雲流量記錄。

  5. 在「規則」部分,按一下「新增規則」

  6. 在「政策值」部分,選取「自訂」

    虛擬私有雲流量記錄不允許使用其他值。

  7. 在「政策類型」中,選取「允許」

  8. 在「自訂值」部分中,輸入其中一個值,代表您要設定的取樣率

    如果您需要指定多個值來設定所需的取樣率,請按一下「新政策值」,然後輸入下一個值。如需指定第三個值,請重複上述步驟。

  9. 按一下 [儲存]

gcloud

如要進一步瞭解如何使用 Google Cloud CLI 設定限制,請參閱「設定機構資源的強制執行機制」。

  1. 使用 describe 指令取得機構資源的目前政策。此指令會傳回直接套用至此資源的政策。如果未設定政策,指令會傳回 NOT_FOUND 錯誤。

    gcloud org-policies describe \
        compute.requireVpcFlowLogs \
        [ --organization=ID | --folder=ID | --project=ID ]
    

    更改下列內容:

    • ID:要套用限制的機構、資料夾或專案 ID。
  2. 使用 set-policy 指令設定機構政策。這項指令會覆寫目前已附加至資源的任何政策。

    1. 建立臨時檔案 /tmp/policy.yaml 來儲存政策:

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
       spec:
         rules:
         - values:
             allowedValues:
             - POLICY_VALUES
       

      更改下列內容:

      • RESOURCE_TYPE:您要套用政策的資源類型。有效選項為 organizationsfoldersprojects

      • ID:要套用限制的機構、資料夾或專案 ID。

      • POLICY_VALUES:代表您要設定的取樣率的值。您可以組合多個值。詳情請參閱「虛擬私有雲端流量記錄檔的取樣率」。

      本範例限制規定機構層級的取樣率至少為 10%:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - ESSENTIAL
           - LIGHT
           - COMPREHENSIVE
      

      這個範例限制要求機構層級的取樣率至少為 50%:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - LIGHT
           - COMPREHENSIVE
      
      

      這個範例限制要求組織層級的取樣率為 100%:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - COMPREHENSIVE
      
    2. 執行 set-policy 指令:

       gcloud org-policies set-policy /tmp/policy.yaml
       

  3. 使用 describe --effective 查看目前有效的政策。這項指令會傳回機構政策,因為系統會在資源階層中評估這項政策,並納入繼承。

    gcloud org-policies describe \
        compute.requireVpcFlowLogs --effective \
        [ --organization=ID | --folder=ID | --project=ID ]
    

設定虛擬私有雲流量記錄必要條件後的影響

使用 constraints/compute.requireVpcFlowLogs 限制設定組織政策,表示如果您建立子網路,或更新現有子網路的虛擬私有雲流量記錄設定,但設定不符合政策規定,就可能會看到錯誤。

如果看到錯誤,您可能需要瞭解限制的設定方式,才能建立有效的設定。如果您沒有足夠的 IAM 權限,無法查看限制條件,請與貴機構的管理員聯絡。

在設定政策前建立的子網路,只要未更新虛擬私有雲流量記錄設定,就不會受到政策影響。

對子網路建立作業的影響

在政策範圍內建立新的子網路時,會套用下列規則:

  • 如果明確啟用虛擬私有雲流量記錄檔,且取樣率符合政策規定,則系統會在建立子網路時啟用虛擬私有雲流量記錄檔,並使用要求的取樣率。

  • 如果明確啟用 VPC 流程記錄,但取樣率不符合政策規定,系統會傳回錯誤,且不會建立子網路。

  • 如果明確停用虛擬私有雲流程記錄,系統會傳回錯誤,且不會建立子網路。

  • 如果未設定虛擬私有雲流量記錄檔,且也未設定取樣率,系統會建立子網路,並啟用虛擬私有雲流量記錄檔和政策所需的最低取樣率。舉例來說,如果政策設定的政策值為 LIGHTCOMPREHENSIVE,則取樣率會設為 0.5 (50%)。

對子網路更新的影響

更新政策範圍內的現有子網路時,請遵守下列規定:

  • 如果更新會啟用虛擬私有雲流量記錄,或是虛擬私有雲流量記錄已啟用,且取樣率設為符合政策規定的值,則子網路會更新,並啟用虛擬私有雲流量記錄,並使用要求的取樣率。

  • 如果更新會啟用 VPC 流程記錄,或是 VPC 流程記錄已啟用,且取樣率設為不符合政策規定的值,系統會傳回錯誤,且不會更新子網路。

  • 如果更新會停用 VPC 流程記錄,系統會傳回錯誤,且不會更新子網路。

  • 如果更新不會啟用或停用虛擬私有雲流量記錄,且未設定取樣率,系統會忽略政策並更新子網路。

對自動模式虛擬私有雲網路建立作業的影響

建立自動模式 VPC 網路時,系統會在每個區域中自動建立子網路。如果網路屬於虛擬私有雲流量記錄檔政策的範圍,系統會在子網路上啟用虛擬私有雲流量記錄檔,並採用政策定義的最低取樣率。舉例來說,如果政策值為 LIGHTCOMPREHENSIVE,則取樣率會設為 0.5 (50%)。

對虛擬私有雲流量記錄設定的影響

如果子網路屬於政策範圍,則不允許記錄篩選,以確保 VPC 流量記錄設定符合政策規定。

後續步驟