啟用 Compliance Manager,以便將架構套用至Google Cloud 機構或專案。
事前準備
啟用 Compliance Manager 前,請先完成下列工作。
如要取得啟用 Compliance Manager 所需的權限,請要求管理員授予您下列 IAM 角色:
-
為機構啟用:
- 機構的機構政策管理員 (
roles/orgpolicy.policyAdmin) - 機構的安全中心管理員編輯者 (
roles/securitycenter.adminEditor)
- 機構的機構政策管理員 (
-
為專案啟用:
- 專案的專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) - 專案的安全中心管理員 (
roles/securitycenter.admin)
- 專案的專案 IAM 管理員 (
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
啟用 Compliance Manager
如要在機構或專案層級啟用 Compliance Manager,請完成下列步驟:
- 使用下列任一方法啟用 Compliance Manager:
如要進一步瞭解 Security Command Center 服務層級,請參閱這篇文章。 Compliance Manager 不支援客戶代管加密金鑰 (CMEK)。 啟動 Compliance Manager 時,系統也會啟用下列服務:情境 操作說明 您尚未啟用 Security Command Center,但想使用 Security Command Center 標準方案。 如要啟用 Compliance Manager,請啟用 Security Command Center Standard。 如果新機構啟用 Standard 級別,系統會自動啟用 Compliance Manager。
您目前使用的是 Security Command Center Standard 級。 您無須採取行動,
系統會透過後端升級啟用 Compliance Manager。詳情請參閱「遷移及啟用標準級」。您尚未啟用 Security Command Center,但想使用 Security Command Center Premium 級別。 如要啟用 Compliance Manager,請啟用 Security Command Center Premium。 您尚未啟用 Security Command Center,但想使用 Security Command Center Enterprise 方案。 啟用 Security Command Center Enterprise,即可啟用 Compliance Manager。 您先前已啟用 Security Command Center Premium 級別,現在想啟用 Compliance Manager。 使用「設定」頁面啟用 Compliance Manager。 您先前已啟用 Security Command Center Enterprise 級別,現在想啟用 Compliance Manager。 使用「啟用 Compliance Manager」頁面啟用 Compliance Manager。 您先前已啟用任何 Security Command Center 服務層級,現在想為單一專案啟用 Compliance Manager。 選取專案範圍,然後使用「設定」頁面啟用 Compliance Manager。
- (僅限 Premium 和 Enterprise 方案) Sensitive Data Protection 使用資料機密程度信號進行預設資料風險評估。
- (僅限 Premium 和 Enterprise 方案) 組織層級的 Event Threat Detection (Security Command Center 的一部分)。
- Data Security Posture Management,適用於資料安全性框架。
(僅限 Premium 和 Enterprise 方案) AI 保護,適用於 AI 安全架構。
啟用法規遵循管理員時,系統會建立 Cloud Security Compliance 服務代理。視啟用範圍而定,Compliance Manager 會使用機構層級 (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) 或專案層級 (service-PROJECT_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com) 的服務代理存取資源。
如果是 Security Command Center Standard,系統會自動將 Security Essentials 架構套用至機構。
如果是 Security Command Center Premium,系統不會自動將架構套用至機構。
對於 Security Command Center Enterprise,系統會自動將下列架構套用至機構:
- Google 建議採用的 AI 基礎功能 - Vertex AI
- 資料安全與隱私權基本概念
在 Compliance Manager 中管理服務層級
法規遵循管理工具功能會因 Security Command Center 服務級別而異。Standard 級別會透過 Security Essentials 架構提供安全基準。Premium 和 Enterprise 級別則包含進階功能,例如內建法規架構、稽核功能和自訂雲端控制項。
降級至 Security Command Center Standard 服務層級
如果將機構或專案降級至標準層級,您將無法使用進階功能,例如內建法規架構、稽核功能和自訂雲端控制項。降級前請先瞭解影響,因為部分資料可能會永久遺失或變更。
對架構和部署作業的影響
降級至 Security Command Center Standard 時,架構和部署作業會發生下列變化:
- 系統會自動移除所有內建架構部署 (不含 Security Essentials),不會顯示警告或通知。
- 如果自訂架構包含標準級不支援的雲端控制項,系統會移除整個架構。
對發現項目的影響
降級為 Security Command Center Standard 後,系統會對調查結果進行下列變更:
- 系統會將與不支援的架構相關聯的發現項目標示為無效。
- 您有七天的時間可以唯讀存取停用的發現項目,之後這些項目就會過期,無法再存取。
對自訂雲端控管機制的影響
降級至 Security Command Center Standard 時,自訂雲端控制項會發生下列變更:
- 您無法建立或管理自訂雲端控管機制。
- 自訂雲端控管機制會保留,但會變成無效且無法使用。系統會自動移除含有自訂雲端控制項的任何有效架構部署作業。
- 如果降級為 Security Command Center Standard 級,與自訂雲端控制項相關的 IAM 權限就會失效,您不必手動撤銷這些權限。
對稽核功能的影響
稽核功能僅適用於 Security Command Center Premium 和企業方案。
Cloud Storage 值區中的稽核報告和證據是由物件生命週期管理規則管理,而非 Security Command Center 保留政策。
再次升級至 Security Command Center Premium 或 Enterprise 服務層級
返回 Security Command Center Premium 或 Enterprise 服務層級時,系統會還原進階功能。升級作業會對部署作業產生下列影響:
- 停用的自訂控制項會再次啟用。
- 降級期間移除的架構部署作業無法復原,您必須手動重新部署架構。
後續步驟
- 為法規遵循使用者設定 IAM 角色。
- 設定 VPC Service Controls 的支援功能。
- 管理架構。
- 設定 Data Security Posture Management。
- 設定 AI 保護。