設定虛擬私有雲流量記錄的組織政策限制
本頁面提供有關組織政策限制的資訊,您可以為子網路設定這些限制,以便在虛擬私有雲流量記錄中使用。
系統管理員可以啟用或停用虛擬私有雲流量記錄。根據預設,啟用或停用虛擬私有雲流量記錄時,系統不會強制規定任何限制。
組織政策管理員可以使用 constraints/compute.requireVpcFlowLogs
限制,要求在政策範圍內,以指定的取樣率為所有子網路啟用 VPC 流量記錄。在建立子網路或更新子網路的虛擬私有雲流量記錄設定時,系統會強制執行這項政策。如果未更新虛擬私有雲流量記錄設定,現有的子網路不會受到影響。
事前準備
IAM 權限
建立限制的實體必須具有機構政策管理員角色 (roles/orgpolicy.policyAdmin
)。
查看限制條件的主體必須具備適當資源的 orgpolicy.policy.get
權限。舉例來說,機構政策檢視者角色 (roles/orgpolicy.policyViewer
) 包含 orgpolicy.policy.get
權限。
機構政策背景
如果您之前未使用過機構政策限制,請參閱下列頁面:
規劃限制條件
您可以在下列資源階層層級建立限制:
- 機構
- 資料夾
- 專案
根據預設,在節點建立的限制會由所有子節點繼承。不過,特定資料夾的機構政策管理員可以決定該資料夾是否要繼承父項,因此繼承並非自動作業。詳情請參閱「瞭解階層評估」一文中的「繼承」。
虛擬私有雲流量記錄的取樣率
您可以使用 constraints/compute.requireVpcFlowLogs
限制條件,確保在子網路上設定下列取樣率。
政策值 | 取樣率 |
---|---|
ESSENTIAL |
大於或等於 0.1 (10%) 且小於 0.5 (50%) |
LIGHT |
大於或等於 0.5 (50%) 且小於 1.0 (100%) |
COMPREHENSIVE |
等於 1.0 (100%) |
這些政策值可以合併使用。請參閱下表中的範例。
取樣率 | 要納入限制的值 |
---|---|
至少 0.1 (10%) | ESSENTIAL 、LIGHT 和 COMPREHENSIVE |
至少 0.5 (50%) | LIGHT 和 COMPREHENSIVE |
1.0 (100%) | COMPREHENSIVE |
設定虛擬私有雲流量記錄限制
主控台
如要進一步瞭解如何使用Google Cloud 控制台設定限制,請參閱「自訂清單限制的政策」。
前往Google Cloud 主控台的「必須為虛擬私有雲流量記錄檔提供預先定義政策」政策頁面:
按一下 [編輯]。
在「Edit」頁面中,選取「Applies to」的值:
繼承父項政策:如果您要為專案或資料夾設定政策,系統會繼承父項範圍的政策。如果您要為機構設定政策,系統不會啟用政策。
Google 代管的預設值:即使在父項範圍中啟用政策,也會停用該政策。
自訂:可讓您為目前範圍內的所有子網路啟用及設定政策。
在「政策強制執行」部分,選取「取代」。
Merge with parent 選項不適用於虛擬私有雲流量記錄。
在「規則」部分,按一下「新增規則」。
在「政策值」部分,選取「自訂」。
虛擬私有雲流量記錄不允許使用其他值。
在「政策類型」中,選取「允許」。
在「自訂值」部分中,輸入其中一個值,代表您要設定的取樣率。
如果您需要指定多個值來設定所需的取樣率,請按一下「新政策值」,然後輸入下一個值。如需指定第三個值,請重複上述步驟。
按一下 [儲存]。
gcloud
如要進一步瞭解如何使用 Google Cloud CLI 設定限制,請參閱「設定機構資源的強制執行機制」。
使用
describe
指令取得機構資源的目前政策。此指令會傳回直接套用至此資源的政策。如果未設定政策,指令會傳回NOT_FOUND
錯誤。gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]
更改下列內容:
ID
:要套用限制的機構、資料夾或專案 ID。
使用
set-policy
指令設定機構政策。這項指令會覆寫目前已附加至資源的任何政策。建立臨時檔案
/tmp/policy.yaml
來儲存政策:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUES
更改下列內容:
RESOURCE_TYPE
:您要套用政策的資源類型。有效選項為organizations
、folders
或projects
。ID
:要套用限制的機構、資料夾或專案 ID。POLICY_VALUES
:代表您要設定的取樣率的值。您可以組合多個值。詳情請參閱「虛擬私有雲端流量記錄檔的取樣率」。
本範例限制規定機構層級的取樣率至少為 10%:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVE
這個範例限制要求機構層級的取樣率至少為 50%:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVE
這個範例限制要求組織層級的取樣率為 100%:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVE
執行
set-policy
指令:gcloud org-policies set-policy /tmp/policy.yaml
使用
describe --effective
查看目前有效的政策。這項指令會傳回機構政策,因為系統會在資源階層中評估這項政策,並納入繼承。gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
設定虛擬私有雲流量記錄必要條件後的影響
使用 constraints/compute.requireVpcFlowLogs
限制設定組織政策,表示如果您建立子網路,或更新現有子網路的虛擬私有雲流量記錄設定,但設定不符合政策規定,就可能會看到錯誤。
如果看到錯誤,您可能需要瞭解限制的設定方式,才能建立有效的設定。如果您沒有足夠的 IAM 權限,無法查看限制條件,請與貴機構的管理員聯絡。
在設定政策前建立的子網路,只要未更新虛擬私有雲流量記錄設定,就不會受到政策影響。
對子網路建立作業的影響
在政策範圍內建立新的子網路時,會套用下列規則:
如果明確啟用虛擬私有雲流量記錄檔,且取樣率符合政策規定,則系統會在建立子網路時啟用虛擬私有雲流量記錄檔,並使用要求的取樣率。
如果明確啟用 VPC 流程記錄,但取樣率不符合政策規定,系統會傳回錯誤,且不會建立子網路。
如果明確停用虛擬私有雲流程記錄,系統會傳回錯誤,且不會建立子網路。
如果未設定虛擬私有雲流量記錄檔,且也未設定取樣率,系統會建立子網路,並啟用虛擬私有雲流量記錄檔和政策所需的最低取樣率。舉例來說,如果政策設定的政策值為
LIGHT
和COMPREHENSIVE
,則取樣率會設為0.5
(50%)。
對子網路更新的影響
更新政策範圍內的現有子網路時,請遵守下列規定:
如果更新會啟用虛擬私有雲流量記錄,或是虛擬私有雲流量記錄已啟用,且取樣率設為符合政策規定的值,則子網路會更新,並啟用虛擬私有雲流量記錄,並使用要求的取樣率。
如果更新會啟用 VPC 流程記錄,或是 VPC 流程記錄已啟用,且取樣率設為不符合政策規定的值,系統會傳回錯誤,且不會更新子網路。
如果更新會停用 VPC 流程記錄,系統會傳回錯誤,且不會更新子網路。
如果更新不會啟用或停用虛擬私有雲流量記錄,且未設定取樣率,系統會忽略政策並更新子網路。
對自動模式虛擬私有雲網路建立作業的影響
建立自動模式 VPC 網路時,系統會在每個區域中自動建立子網路。如果網路屬於虛擬私有雲流量記錄檔政策的範圍,系統會在子網路上啟用虛擬私有雲流量記錄檔,並採用政策定義的最低取樣率。舉例來說,如果政策值為 LIGHT
和 COMPREHENSIVE
,則取樣率會設為 0.5
(50%)。
對虛擬私有雲流量記錄設定的影響
如果子網路屬於政策範圍,則不允許記錄篩選,以確保 VPC 流量記錄設定符合政策規定。