管理框架

法規遵循管理員架構包含雲端控管機制,可協助您在雲端環境中,滿足機構或專案的安全性和法規要求。套用架構的程序分為兩個步驟。首先,您必須找出符合業務安全性和法規遵循義務的雲端控管機制。接著,在Google Cloud中,將包含這些雲端控管機制的架構部署至適當的機構、資料夾或專案。本頁面可協助您完成下列步驟:

  1. 評估哪一個內建架構最符合您的法規和安全需求。您可以建立自己的自訂架構,但建議先從內建架構著手。

  2. 判斷哪些內建雲端控管機制符合您的業務需求。 (僅限 Premium 和 Enterprise 方案) 如有需要,您可以建立自訂雲端控管機制

  3. 決定要將架構部署至 Google Cloud機構,還是特定資料夾和專案。每個機構、資料夾或專案只能部署一個架構。Compliance Manager 支援已設定應用程式管理功能的資料夾

  4. 複製現有框架,並根據需求進行修改。如有需要,您可以建立自訂架構。

    」。

  5. 在適當的機構、資料夾或專案中部署架構。

事前準備

請先完成這些工作,再完成本頁面上的其餘工作。

設定權限

  • 如要取得套用架構所需的權限,請要求管理員在您的組織或專案中,授予下列 IAM 角色:

    如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

    透過組織政策部署架構的角色包含必要的 orgpolicy.policies.createorgpolicy.policies.updateorgpolicy.policies.get 權限。

    如果是機構層級部署作業,建立資料夾的角色會包含必要的 resourcemanager.folders.getresourcemanager.folders.createresourcemanager.folders.delete 權限。

    如要進行機構層級部署,建立專案的角色必須具備 resourcemanager.projects.getresourcemanager.projects.createresourcemanager.projects.deleteresourcemanager.projects.createBillingAssignment 權限。

    將 DSPM 架構指派給應用程式的角色包含必要的 apphub.locations.listapphub.applications.listapphub.applications.get 權限。

    您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

設定 Google Cloud CLI

在 Google Cloud 控制台中啟用 Cloud Shell。

啟用 Cloud Shell

Google Cloud 主控台底部會開啟一個 Cloud Shell 工作階段,並顯示指令列提示。Cloud Shell 是已安裝 Google Cloud CLI 的殼層環境,並已針對您目前的專案設定好相關值。工作階段可能需要幾秒鐘的時間才能完成初始化。

如要設定 gcloud CLI,使用服務帳戶模擬功能向 Google API 進行驗證,而非使用使用者憑證,請執行下列指令:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

詳情請參閱「服務帳戶模擬」。

查看架構

如要查看內建架構或您已建立的其他架構的設定,請完成下列步驟。

控制台

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」頁面

  2. 選取您的機構或專案。

  3. 如要查看所有可用架構,請按一下「設定」分頁標籤。

    資訊主頁會顯示可用的架構、簡短說明、支援的平台和層級,以及已套用架構的資源。

  4. 如要查看特定架構的詳細資料,請按一下架構名稱。

CLI

您可以查看特定架構的相關資訊,或列出機構中的所有架構

查看架構詳細資料

如要查看特定架構的詳細資料,請執行 gcloud compliance-manager frameworks describe 指令:

gcloud compliance-manager frameworks describe FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--major-revision-id=MAJOR_REVISION_ID]

更改下列內容:

  • FRAMEWORK:架構名稱

  • ORGANIZATION:您的機構 ID

  • LOCATION:架構儲存所在的區域

  • MAJOR_REVISION_ID:選用旗標,可指定要查看的架構版本。如未加入這個標記,系統會傳回最新版本。

舉例來說,如要查看名稱為 builtin-security-essentials 且主要修訂版本號碼為 12 的框架,請執行下列指令:

gcloud compliance-manager frameworks describe \
   builtin-security-essentials \
   --organization=3589215982 \
   --location=global \
   --major-revision-id=12

詳情請參閱「gcloud compliance-manager frameworks describe」。

取得架構清單

如要取得貴機構的架構清單,請執行 gcloud compliance-manager frameworks list 指令:

gcloud compliance-manager frameworks list \
   --location=LOCATION \
   --organization=ORGANIZATION

替換下列值:

  • ORGANIZATION:您的機構 ID

  • LOCATION:架構儲存所在的區域

舉例來說,如要查看機構 3589215982 中儲存在全域位置的所有架構,請執行下列指令:

gcloud compliance-manager frameworks list \
   --organization=3589215982 \
   --location=global

如要瞭解選用標記,請參閱 gcloud compliance-manager frameworks list

建立架構

決定適用於機構、特定資料夾或專案中資源的雲端控制項後,即可建立框架。您可以建立自訂框架,或複製現有框架並加以修改。複製框架時,系統會納入所有內建雲端控制項的最新版本。

控制台

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」頁面

  2. 選取您的機構或專案。

  3. 在「設定」分頁中,按一下「建立自訂架構」

  4. 完成下列任一操作:

    • 如要使用現有框架,請完成下列步驟:

      1. 選取「依據現有架構開始建立」

      2. 選取要複製的架構。

      3. 按一下「新增」。

    • 如要建立自訂架構,請選取「開始新架構」

  5. 輸入架構的名稱、專屬 ID 和說明。按一下「Continue」(繼續)

    如果您要複製現有架構,系統會顯示現有架構中的雲端控管機制清單。

  6. 如要新增所需雲端控管機制,請完成下列步驟:

    • 如要新增現有的雲端控管機制,請按一下「新增雲端控管機制」。選取所有需要的雲端控管機制,然後按一下「新增」

      新增控制項時,請驗證控制項類型 (偵測、預防或稽核)。請注意,預防和稽核控制項僅適用於 Premium 和 Enterprise 層級。如果您想使用架構監控環境並偵測違規行為,請勿在架構中加入僅限稽核的控制項。您無法部署包含僅限稽核控制項的架構。

    • (僅限 Premium 和 Enterprise 方案) 如要建立自訂雲端控管機制,請按一下「建立自訂雲端控管機制」。如需操作說明,請參閱「建立自訂雲端控管機制」。

  7. 按一下「繼續」

  8. 新增雲端控管機制要求的其他參數。

    舉例來說,如要啟用「資料安全狀態管理 (DSPM)」雲端控制項,例如「Restrict Access to Sensitive Data to Permitted Users」(限制僅允許的使用者存取機密資料) 雲端控制項,請指定主體必須使用的位置。如要進一步瞭解 Data Security Posture Management 控制項,請參閱進階資料治理和安全雲端控制項

  9. 點選「建立」

CLI

如要建立自訂架構,請執行 gcloud compliance-manager frameworks create 指令:

gcloud compliance-manager frameworks create FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION \
   --display-name=DISPLAY_NAME \
   [--description=DESCRIPTION] \
   [--category=[CATEGORY,...] \
   [--cloud-control-details=[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]]

替換下列值:

  • FRAMEWORK:架構的專屬英數字元 ID

  • ORGANIZATION:您的機構 ID

  • LOCATION:架構儲存所在的區域

  • DISPLAY_NAME:架構的易讀名稱

  • DESCRIPTION:架構用途的選用說明

  • [CATEGORY,...]:選用參數,用於定義架構所屬的類別。建議自訂架構的值為 custom-framework

  • --cloud-control-details=`[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]'

    是選填的雲端控制項清單,可納入框架,格式如下:

    • MAJOR_REVISION_ID:選用旗標,可指定要查看的雲端控制項版本。如果您未加入這個旗標,系統會使用最新版本。

    • :雲端控管機制的名稱,格式為 organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/NAMENAME 是雲端控管機制的專屬 ID。您可以使用 gcloud compliance-manager cloud-controls list 指令找到雲端控管機制 ID。NAME

    • :某些雲端控制項的選用參數。舉例來說,如果您想啟用「Restrict Access to Sensitive Data to Permitted Users」(僅允許特定使用者存取機密資料) 等 Data Security Posture Management 雲端控制項,請指定主體必須使用的位置。PARAMETERS

    或者,您也可以指定包含所有雲端控制項清單的 JSON 或 YAML 檔案。例如:--cloud-control-details=path_to_file.(yaml|json)。展開下列部分,查看 JSON 和 YAML 檔案範例。

    JSON 檔案範例

      [
    {
      "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region",
      "majorRevisionId": 1,
      "parameters": [
        {
          "name": "location",
          "parameterValue": {
            "stringValue": "us-west"
          }
        }
      ]
    },
    {
      "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization",
      "majorRevisionId": 2
    }
  ]

    YAML 檔案範例

      - name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region
    majorRevisionId: 1
    parameters:
    - name: location
      parameterValue:
        stringValue: us-west
  - name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization
    majorRevisionId: 2

    如果您在建立架構時未指定雲端控制項,可以稍後使用控制台新增

舉例來說,如要建立名為 my-custom-framework 的框架,請執行下列指令:

gcloud compliance-manager frameworks create \
   my-custom-framework \
   --organization=3589215982 \
   --location=global \
   --description="This framework is my custom framework" \
   --display-name="My framework name" \
   --cloud-control-details='[{"name":"organizations/3589215982/locations/global/cloudControls/restrict-bucket-region","majorRevisionId":1,"parameters":[{"name":"location","parameterValue":{"stringValue":"us-west"}}]},{"name":"organizations/3589215982/locations/global/cloudControls/enable-binary-authorization","majorRevisionId":2}]'

詳情請參閱 gcloud compliance-manager frameworks create

Terraform

以下範例說明如何使用 Terraform 建立框架。

resource "google_cloud_security_compliance_framework" "example" {
  parent       = "organizations/123456789"
  location     = "global"
  framework_id = "example-framework"

  display_name = "Terraform Framework Name"
  description  = "An Terraform description for the framework"

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-assess-resource-availability"
		major_revision_id = "2"

    parameters {
      name = "location"
      parameter_value {
        string_value = "us-central1"
      }
    }
  }

    cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-cmek-key-in-use-for-bigquery-table"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        string_list_value {
          values = ["us-central1", "us-west1"]
        }
      }
    }
  }

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-enable-automatic-backups-cloud-sql"
		major_revision_id = "3"

    parameters {
      name = "location"
      parameter_value {
        bool_value = true
      }
    }
  }

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-require-cmek-on-bigquery-datasets"
		major_revision_id = "2"

    parameters {
      name = "location"
      parameter_value {
        number_value = 1
      }
    }
  }


}

部署架構

將架構部署至機構、資料夾或專案,即可使用架構的雲端控制項控管及監控這些資源。您可以為每個機構、資料夾或專案部署多個架構。如果您部署的架構只包含進階資料安全雲端控制項,則可將架構部署至應用程式管理設定資料夾中的 App Hub 應用程式。

資料夾和專案會透過 Google Cloud 資源階層繼承架構。因此,如果您在機構和專案層級部署架構,兩個架構中的所有雲端控管機制都會套用至專案中的資源。如果雲端控制項定義有任何差異,專案中的資源會使用較低層級的雲端控制項。舉例來說,如果雲端控管規則在機構層級設為「允許」,在專案層級設為「拒絕」,則專案層級的「拒絕」設定會套用至專案中的資源。

最佳做法是,在機構層級部署框架,其中包含可套用至整個業務的雲端控制項。然後,您可以將更嚴格的架構部署至需要這些架構的資料夾和專案。

控制台

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」頁面

  2. 選取您的機構或專案。

  3. 在「設定」分頁中,依序點選要部署的架構 「更多動作」>「套用至資源」

  4. 您可以選擇下列其中一個選項:

    • 如要只監控偏移情形,請選擇「監控」

    • 如要監控變異情形並主動防止違規,請選擇「監控並防止」

  5. 選取要部署架構的資源。您可以選擇現有的機構、資料夾或專案。如果是 DSPM,您可以選取應用程式,部署只包含 DSPM 進階雲端控制項的架構。如果您選擇主動防止違規,可以建立新的資料夾或專案,並將架構部署到其中。

  6. 完成下列任一操作:

    • 如果選取「Monitor」(監控),請完成下列步驟:

      1. 驗證資訊。
      2. 如果您選取已設定應用程式管理的資料夾,且架構只包含進階 DSPM 雲端控制項,請選取要監控的應用程式。
      3. 按一下「監控」

    • 如果您選取「監控及防範」,請完成下列步驟:

      1. 點選「下一步」。查看雲端控制選項和模式。
      2. 按一下「繼續」
      3. 如果顯示,請驗證部分雲端控管機制所需的額外資訊。
      4. 點選「下一步」
      5. 檢查所選項目,然後按一下「強制執行」

CLI

如要在機構中部署架構,請執行 gcloud compliance-manager framework-deployments create 指令。請考慮下列最佳做法:

  • 為雲端控制項中繼資料建立個別的 YAML 或 JSON 檔案。

  • 使用適當的目標標記,指出您要部署至現有的機構、資料夾或專案,還是要在部署架構的同時建立新的專案或資料夾。

  • 如有可能,請只使用資源 ID,不要使用完整資源名稱。

gcloud compliance-manager framework-deployments create \
   (FRAMEWORK_DEPLOYMENT : \
   --location=LOCATION \
   --organization=ORGANIZATION) \
   --cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE] \
   (--framework=FRAMEWORK : \
   --framework-major-revision-id=FRAMEWORK_MAJOR_REVISION_ID) \
   (--target-resource-config-existing=TARGET_RESOURCE_CONFIG_EXISTING     | \
   --target-resource-creation-config-folder-display-name=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME \
   --target-resource-creation-config-folder-parent=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT     | \
   --target-resource-creation-config-project-billing-account-id=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID \
   --target-resource-creation-config-project-display-name=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME \
   --target-resource-creation-config-project-parent=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT) \
   [--description=DESCRIPTION]

替換下列值:

  • FRAMEWORK_DEPLOYMENT:框架部署作業的 ID

  • ORGANIZATION:您的機構 ID

  • LOCATION:儲存架構部署作業的區域

  • cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE]: 架構中的雲端控制項清單,包含名稱、參數、修訂版本 ID 和強制執行模式,格式如下:

    • CLOUD_CONTROL_DETAILS:這個物件包含雲端控制項名稱、參數和修訂版本 ID 清單。格式如下:

      • name=NAME:雲端控制項的完整資源名稱,格式為 organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/CLOUD_CONTROL_NAME

      • majorRevisionId=MAJOR_REVISION_ID:雲端控制項的主要版本

      • parameters=PARAMETERS:某些雲端控制項所需的選用參數。舉例來說,如要啟用「Data Security Posture Management」雲端控制項 (例如「Restrict Access to Sensitive Data to Permitted Users」(僅允許使用者存取機密資料) 雲端控制項),請指定主體必須使用的位置。

    • ENFORCEMENT_MODE:控制項是否為 AUDITDETECTIVEPREVENTIVE 控制項

      或者,您也可以指定包含雲端控制詳細資料和強制執行模式的 JSON 或 YAML 檔案。例如:--cloud-control-metadata=path_to_file.(yaml|json)。展開以下部分,查看 JSON 和 YAML 檔案範例。

      JSON 檔案範例

        [
    {
      "cloudControlDetails": {
        "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region",
        "majorRevisionId": 1,
        "parameters": [
          {
            "name": "location",
            "parameterValue": {
              "stringValue": "us-west"
            }
          }
        ]
      },
      "enforcementMode": "DETECTIVE"
    },
    {
      "cloudControlDetails": {
        "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization",
        "majorRevisionId": 2
      },
      "enforcementMode": "DETECTIVE"
    }
  ]

      YAML 檔案範例

        - cloudControlDetails:
      name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region
      majorRevisionId: 1
      parameters:
      - name: location
        parameterValue:
          stringValue: us-west
    enforcementMode: DETECTIVE
  - cloudControlDetails:
      name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization
      majorRevisionId: 2
    enforcementMode: DETECTIVE

    • FRAMEWORK:要部署的現有架構名稱,格式為 organizations/ORGANIZATION_ID/locations/LOCATION/frameworks/FRAMEWORK_NAME

    • FRAMEWORK_MAJOR_REVISION_ID:要部署的框架版本號碼

    • TARGET_RESOURCE_CONFIG_EXISTING :要部署新框架的現有機構、資料夾或專案名稱,格式如下:

      • organizations/ORGANIZATION_ID
      • folders/FOLDER_ID
      • projects/PROJECT_ID

    • TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME:要建立的資料夾名稱,然後將架構部署至該資料夾

    • TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT:要建立新資料夾的現有機構或資料夾名稱。支援的格式為 organizations/ORGANIZATION_IDfolders/FOLDER_ID

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID:要指派給新專案的帳單帳戶 ID (如果您要建立新專案,並將架構部署至該專案)

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME:要建立專案的名稱,然後將架構部署至該專案

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT:要建立新專案的現有機構或資料夾名稱。支援的格式為 organizations/ORGANIZATION_IDfolders/FOLDER_ID

    • DESCRIPTION:架構部署作業的選用說明

舉例來說,如要將名為 organizations/3589215982/locations/global/frameworks/builtin-aipp 的框架部署至現有資料夾 (資料夾 ID 為 example-folder),請執行下列指令:

gcloud compliance-manager framework-deployments create \
   example-framework-deployment \
   --organization=3589215982 \
   --location=global \
   --cloud-control-metadata='[{"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region", "majorRevisionId": "1", "parameters": []}, "enforcementMode": "DETECTIVE"}, {"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization", "majorRevisionId": 2}, "enforcementMode": "DETECTIVE"}]' \
   --framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
   --framework-major-revision-id=6 \
   --target-resource-config-existing="folders/example-folder" \
   --description="Deployment for AI Platform into example-folder"

舉例來說,如要部署名為 organizations/3589215982/locations/global/frameworks/builtin-aipp 的框架,並在現有資料夾 (資料夾 ID 為 example-folder) 中建立名為 example-new-project 的新專案,請執行下列指令:

gcloud compliance-manager framework-deployments create \
  example-framework-deployment \
   --organization=3589215982 \
   --location=global \
   --cloud-control-metadata=deploy-controls.yaml \
   --framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
   --framework-major-revision-id=6 \
   --target-resource-creation-config-project-billing-account-id=012345-567890-ABCDEF \
   --target-resource-creation-config-project-display-name=example-new-project \
   --target-resource-creation-config-project-parent=folders/example-folder \
   --description="Deployment for AI Platform into a new example-new-project in example-folder"

詳情請參閱 gcloud compliance-manager framework-deployments create

Terraform

下列範例說明如何使用 Terraform 部署架構。

resource "google_cloud_security_compliance_framework" "example" {
  parent       = "organizations/123456789"
  location     = "global"
  framework_id = "example-framework"

  display_name = "Terraform Framework Name"
  description  = "An Terraform description for the framework"

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-detective-policy-for-vertex-ai-runtime-template-idle-shutdown"
		major_revision_id = "2"

    parameters {
      name = "location"
      parameter_value {
        string_value = "us-central1"
      }
    }
    parameters {
      name = "oneof-parameter"
      parameter_value {
        oneof_value {
          name = "test-oneof"
          parameter_value {
            string_value = "test-value"
          }
        }
      }
    }
    parameters {
      name = "bool-parameter"
      parameter_value {
        oneof_value {
          name = "bool-oneof"
          parameter_value {
            bool_value = true
          }
        }
      }
    }
    parameters {
      name = "number-parameter"
      parameter_value {
        oneof_value {
          name = "number-oneof"
          parameter_value {
            number_value = 123.45
          }
        }
      }
    }
    parameters {
      name = "string-list-parameter"
      parameter_value {
        oneof_value {
          name = "string-list-oneof"
          parameter_value {
            string_list_value {
              values = ["value1", "value2"]
            }
          }
        }
      }
    }
  }
}

resource "google_cloud_security_compliance_framework_deployment" "example" {
  parent            = "organizations/123456789"
  location                = "global"
  framework_deployment_id = "example-deployment"
  description             = "A framework deployment for cloud security compliance"

  framework {
    framework         = google_cloud_security_compliance_framework.example.name
    major_revision_id = "1"
  }

  target_resource_config {
    existing_target_resource = "organizations/123456789"
  }

  cloud_control_metadata {
    enforcement_mode = "DETECTIVE"

    cloud_control_details {
      name                  = "organizations/123456789/locations/global/cloudControls/builtin-detective-policy-for-vertex-ai-runtime-template-idle-shutdown"
      major_revision_id     = "2"

      parameters {
        name = "enabled"
        parameter_value {
          bool_value = true
        }
      }

      parameters {
        name = "regions"
        parameter_value {
          string_list_value {
            values = ["us-central1", "us-west1", "us-east1"]
          }
        }
      }

      parameters {
        name = "location"
        parameter_value {
          string_value = "us-central1"
        }
      }
      parameters {
        name = "oneof-parameter"
        parameter_value {
          oneof_value {
            name = "test-oneof"
            parameter_value {
              string_value = "test-value"
            }
          }
        }
      }
      parameters {
        name = "bool-parameter"
        parameter_value {
          oneof_value {
            name = "bool-oneof"
            parameter_value {
              bool_value = true
            }
          }
        }
      }
      parameters {
        name = "number-parameter"
        parameter_value {
          oneof_value {
            name = "number-oneof"
            parameter_value {
              number_value = 123.45
            }
          }
        }
      }
      parameters {
        name = "string-list-parameter"
        parameter_value {
          oneof_value {
            name = "string-list-oneof"
            parameter_value {
              string_list_value {
                values = ["value1", "value2"]
              }
            }
          }
        }
      }
    }
  }


}

部署架構後,您可以監控環境,瞭解是否與定義的雲端控制項有任何差異。Security Command Center 會將漂移情況回報為發現項目,供您查看、篩選及解決。部署框架後,與雲端控制項相關的發現項目大約需要六小時才會顯示。

編輯自訂架構

建立框架後,您可以變更名稱和說明、新增或移除雲端控制項,以及更新任何參數。您只能編輯自己建立的架構,無法編輯內建架構。

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」頁面

  2. 選取您的機構或專案。

  3. 在「設定」分頁中,按一下要編輯的架構。

  4. 在「架構詳細資料」頁面中,確認架構未指派給資源。視需要移除指派項目

  5. 依序點選「動作」>「編輯」

  6. 在「更新架構詳細資料」頁面中,視需要變更名稱和說明。按一下「Continue」(繼續)

  7. 如要變更架構中包含的雲端控制項,請完成下列步驟:

    • 如要新增現有的雲端控管機制,請按一下「新增雲端控管機制」,選取所有需要的雲端控管機制,然後按一下「新增」

    • 如要建立自訂雲端控管機制,請按一下「建立自訂雲端控管機制」。如需操作說明,請參閱「建立自訂雲端控管機制」。

    • 如要移除雲端控管機制,請選取該機制,然後按一下「移除」

  8. 按一下「繼續」

  9. 新增雲端控管機制要求的其他參數。

  10. 按一下 [儲存]

從資源中移除已部署的架構

您可以從指派架構的機構、資料夾或專案中移除架構。移除架構後,法規遵循管理員就不會再為資源階層的該節點產生發現項目。

移除框架後,大多數相關發現項目 的狀態會在七天後變更為 Inactive。如果框架包含「Restrict Flow of Sensitive Data Across Geographic Jurisdictions」(限制敏感資料在不同地理管轄區間的流動) 雲端控制項,發現項目 的狀態會在 90 天後變更為 Inactive。與「Restrict Flow of Sensitive Data Across Geographic Jurisdictions」(限制敏感資料在不同地理管轄區間的流動) 雲端控制項和「Restrict Access to Sensitive Data to Permitted Users」(限制只有獲准使用者才能存取敏感資料) 雲端控制項相關的發現項目,其狀態不會自動變更。

控制台

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」頁面

  2. 選取您的機構或專案。

  3. 在「設定」分頁中,按一下要移除的架構。

  4. 在「架構詳細資料」頁面中,依序點選「動作」>「管理資源指派項目」

  5. 在「已指派的資源」表格中,找出要移除的資源,然後按一下「刪除」圖示

  6. 詳閱確認訊息,然後按一下「取消指派」

  7. 選用:將相關聯的發現項目狀態變更為 Inactive。如需操作說明,請參閱「變更發現項目的狀態」。

CLI

如要移除機構中的特定架構部署作業,請執行 gcloud compliance-manager framework-deployments delete 指令:

gcloud compliance-manager framework-deployments delete \
   FRAMEWORK_DEPLOYMENT \
   --location=LOCATION \
   --organization=ORGANIZATION

替換下列值:

  • FRAMEWORK_DEPLOYMENT:框架部署作業的 ID

  • ORGANIZATION:您的機構 ID

  • LOCATION:儲存架構部署作業的區域

舉例來說,如要從機構 3589215982 移除 example-deployment,並儲存在全域位置,請執行下列指令:

gcloud compliance-manager framework-deployments delete \
   example-deployment \
   --organization=3589215982 \
   --location=global

如要瞭解選用標記,請參閱「gcloud compliance-manager framework-deployments delete」。

將架構更新為新版

當服務部署新功能或出現新的最佳做法時,Google 會定期更新內建架構。

您可以在「設定」分頁的架構資訊主頁,或架構詳細資料頁面中,查看內建架構的版本。

發生下列更新時,Google 會在控制台和版本資訊中通知您:

如要更新架構,請完成下列步驟:

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」頁面

  2. 選取您的機構或專案。

  3. 在「設定」分頁中,按一下要更新的架構。

  4. 在「架構詳細資料」頁面的「已指派的資源」表格中,查看所有標示為「有可用更新」的指派項目「更新狀態」

  5. 如要套用變更,請完成下列步驟:

    1. 移除資源指派作業

    2. 重新將架構部署至資源,以便法規遵循管理員繼續評估資源並建立調查結果。

刪除自訂架構

如果不再需要架構,可以刪除。請注意,您只能刪除自己建立的架構,無法刪除內建架構。

控制台

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」頁面

  2. 選取您的機構或專案。

  3. 在「設定」分頁中,按一下要取消指派資源的架構。

  4. 在「架構詳細資料」頁面中,確認架構未指派給資源。視需要移除指派項目

  5. 依序點選「動作」>「刪除」

  6. 在「刪除」視窗中,查看訊息。輸入 Delete,然後按一下「確認」

CLI

如要刪除機構中的特定架構,請執行 gcloud compliance-manager frameworks delete 指令:

gcloud compliance-manager frameworks delete \
   FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION

替換下列值:

  • FRAMEWORK:架構名稱

  • ORGANIZATION:您的機構 ID

  • LOCATION:架構儲存所在的區域

舉例來說,如要從機構 3589215982 移除 example-framework,並儲存在全域位置,請執行下列指令:

gcloud compliance-manager frameworks delete \
   example-framework \
   --organization=3589215982 \
   --location=global

如要瞭解選用標記,請參閱「gcloud compliance-manager frameworks delete」。

後續步驟