יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת אילוצים של מדיניות הארגון לגבי VPC Flow Logs

בדף הזה מוסבר על האילוצים של מדיניות הארגון שאפשר להגדיר עבור רשתות משנה ביומני תנועה של VPC.

אדמינים יכולים להפעיל או להשבית את יומני הזרימה של VPC. כברירת מחדל, לא מוטלות מגבלות על הפעלה או השבתה של יומני זרימה של VPC.

אדמין של מדיניות הארגון יכול להשתמש באילוץ constraints/compute.requireVpcFlowLogs כדי לדרוש שהתכונה 'יומני תנועה של VPC' תופעל בכל רשתות המשנה בהיקף המדיניות עם שיעור דגימה שצוין. המדיניות נאכפת כשיוצרים רשתות משנה או כשמעדכנים את ההגדרה של יומני הזרימה של ה-VPC ברשתות משנה. אם לא מעדכנים את ההגדרות של יומני התנועה ב-VPC של רשתות משנה קיימות, הן לא מושפעות.

לפני שמתחילים

הרשאות IAM

לחשבון הראשי שיוצר את האילוצים צריך להיות התפקיד אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin).

לחשבונות המשתמש שצופים באילוצים צריכה להיות ההרשאה orgpolicy.policy.get במשאב המתאים. לדוגמה, התפקיד Organization Policy Viewer‏ (roles/orgpolicy.policyViewer) כולל את ההרשאה orgpolicy.policy.get.

רקע על מדיניות הארגון

אם זאת הפעם הראשונה שאתם עובדים עם אילוצים של מדיניות הארגון, כדאי לעיין בדפים הבאים:

תכנון המגבלות

אפשר ליצור אילוצים ברמות הבאות של היררכיית המשאבים:

ארגון
תיקייה
פרויקט

כברירת מחדל, אילוץ שנוצר בצומת עובר בירושה לכל צמתי הצאצאים. עם זאת, אדמין של מדיניות הארגון בתיקייה מסוימת יכול להחליט אם התיקייה יורשת את המדיניות מהתיקיות הראשיות שלה, כך שהירושה לא מתבצעת באופן אוטומטי. מידע נוסף מופיע בקטע ירושה במאמר הסבר על הערכת ההיררכיה.

תדירויות הדגימה של VPC Flow Logs

אפשר להשתמש באילוץ constraints/compute.requireVpcFlowLogs כדי לוודא שהקצבי הדגימה הבאים מוגדרים ברשתות משנה.

ערך המדיניות	תדירות הדגימה
`ESSENTIAL`	גדול מ-0.1 (10%) או שווה לו, וקטן מ-0.5 (50%)
`LIGHT`	גדול מ-0.5 (50%) או שווה לו, וקטן מ-1.0 (100%)
`COMPREHENSIVE`	שווה ל-1.0 (100%)

אפשר לשלב בין ערכי המדיניות האלה. דוגמאות מופיעות בטבלה הבאה.

תדירות הדגימה	ערכים שיש לכלול באילוץ
לפחות 0.1 (10%)	`ESSENTIAL`, `LIGHT` וגם `COMPREHENSIVE`
לפחות 0.5 (50%)	`LIGHT` וגם `COMPREHENSIVE`
‫1.0 (100%)	`COMPREHENSIVE`

הגדרת האילוץ VPC Flow Logs

המסוף

מידע נוסף על הגדרת אילוץ באמצעותCloud de Confiance המסוף זמין במאמר התאמה אישית של מדיניות לאילוצי רשימה.

נכנסים לדף המדיניות Require predefined policies for VPC flow logs במסוףCloud de Confiance :

מעבר למדיניות הארגון
לוחצים על Edit.
בדף עריכה, בוחרים ערך לאפשרות חל על:
- ירושת המדיניות מהמשאב הראשי: אם מגדירים מדיניות לפרויקט או לתיקייה, המדיניות של ההיקף הראשי עוברת בירושה. אם אתם מגדירים מדיניות לארגון, המדיניות לא מופעלת.
- ברירת מחדל בניהול Google: משביתה את המדיניות, גם אם היא מופעלת בהיקף הראשי.
- התאמה אישית: מאפשרת להפעיל ולהגדיר את המדיניות לכל רשתות המשנה בהיקף הנוכחי.
בקטע אכיפת מדיניות, בוחרים באפשרות החלפה.

אסור להשתמש באפשרות מיזוג עם ההורה ביומני זרימה של VPC.
בקטע כללים, לוחצים על הוספת כלל.
בשדה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

לא ניתן להשתמש בערכים אחרים ביומני זרימת תנועה של VPC.
בקטע סוג המדיניות, בוחרים באפשרות אישור.
בקטע ערכים מותאמים אישית, מזינים אחד מהערכים שמייצגים את שיעור הדגימה שרוצים להגדיר.

אם צריך לציין יותר מערך אחד כדי להגדיר את שיעור הדגימה הרצוי, לוחצים על ערך מדיניות חדש ומזינים את הערך הבא. חוזרים על הפעולה שוב אם צריך לציין ערך שלישי.
לוחצים על Save.

gcloud

מידע נוסף על הגדרת אילוץ באמצעות Google Cloud CLI מופיע במאמר הגדרת אכיפה במשאב הארגון.

מריצים את הפקודה describe כדי לקבל את המדיניות הנוכחית במשאב הארגון. הפקודה הזו מחזירה את המדיניות שחלה ישירות על המשאב הזה. אם לא מוגדרת מדיניות, הפקודה מחזירה שגיאה NOT_FOUND.
```
gcloud org-policies describe \
    compute.requireVpcFlowLogs \
    [ --organization=ID | --folder=ID | --project=ID ]
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫ID: המזהה של הארגון, התיקייה או הפרויקט שרוצים להחיל עליהם את האילוץ.
מגדירים את המדיניות בארגון באמצעות הפקודה set-policy. הפקודה הזו מחליפה כל מדיניות שמצורפת כרגע למשאב.
1. יוצרים קובץ זמני /tmp/policy.yaml לאחסון המדיניות:
```
 name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
 spec:
   rules:
   - values:
       allowedValues:
       - POLICY_VALUES
 
```
  מחליפים את מה שכתוב בשדות הבאים:
  - ‫RESOURCE_TYPE: סוג המשאב שעליו רוצים להחיל את המדיניות. האפשרויות התקפות הן organizations,‏ folders או projects.
  - ‫ID: המזהה של הארגון, התיקייה או הפרויקט שרוצים להחיל עליהם את האילוץ.
  - ‫POLICY_VALUES: הערכים שמייצגים את קצב הדגימה שרוצים להגדיר. אפשר לשלב כמה ערכים. מידע נוסף זמין במאמר בנושא שיעורי דגימה של יומני תנועה ב-VPC.
  בדוגמה הזו, האילוץ מחייב שיעור דגימה של לפחות 10% ברמת הארגון:
```
name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - ESSENTIAL
     - LIGHT
     - COMPREHENSIVE
```
  בדוגמה הזו, האילוץ מחייב שיעור דגימה של לפחות 50% ברמת הארגון:
```
name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - LIGHT
     - COMPREHENSIVE
```
  בדוגמה הזו, האילוץ מחייב שיעור דגימה של 100% ברמת הארגון:
```
name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - COMPREHENSIVE
```
2. מריצים את הפקודה set-policy:
```
 gcloud org-policies set-policy /tmp/policy.yaml
 
```
כדי לראות את המדיניות האפקטיבית הנוכחית, משתמשים בפקודה describe --effective. הפקודה הזו מחזירה את מדיניות הארגון כפי שהיא מוערכת בשלב הזה בהיררכיית המשאבים, כולל ההורשה.
```
gcloud org-policies describe \
    compute.requireVpcFlowLogs --effective \
    [ --organization=ID | --folder=ID | --project=ID ]
```

ההשפעות של הגדרת דרישה ל-VPC Flow Logs

הגדרת מדיניות ארגונית עם האילוץ constraints/compute.requireVpcFlowLogs יכולה לגרום לשגיאות אם יוצרים רשת משנה או מעדכנים את ההגדרה של יומני הזרימה של VPC ברשת משנה קיימת, וההגדרה לא עומדת בדרישות של המדיניות.

אם מוצגות שגיאות, יכול להיות שתצטרכו לדעת איך המגבלה מוגדרת כדי שתוכלו ליצור הגדרה תקינה. אם אין לכם מספיק הרשאות IAM כדי לראות את האילוץ, פנו לאדמין בארגון.

רשתות משנה שנוצרו לפני הגדרת המדיניות לא מושפעות מהמדיניות, כל עוד לא מתבצע עדכון של ההגדרה של יומני התנועה ב-VPC שלהן.

ההשפעות על יצירת רשתות משנה

כשיוצרים רשת משנה חדשה בהיקף המדיניות, התנאים הבאים חלים:

אם VPC Flow Logs מופעל באופן מפורש עם שיעור דגימה שעומד בדרישות המדיניות, רשת המשנה נוצרת עם VPC Flow Logs מופעל ועם שיעור הדגימה המבוקש.
אם הפעלתם במפורש את VPC Flow Logs עם קצב דגימה שלא עומד בדרישות המדיניות, תוחזר שגיאה ורשת המשנה לא תיווצר.
אם VPC Flow Logs מושבת באופן מפורש, מוחזרת שגיאה ורשת המשנה לא נוצרת.
אם לא מוגדר VPC Flow Logs וגם לא מוגדר שיעור הדגימה, נוצרת רשת משנה עם VPC Flow Logs מופעל ושיעור הדגימה המינימלי שנדרש על ידי המדיניות. לדוגמה, אם המדיניות מוגדרת עם ערכי מדיניות של LIGHT ו-COMPREHENSIVE, קצב הדגימה מוגדר ל-0.5 (50%).

ההשפעה על עדכוני רשתות משנה

כשמעדכנים רשת משנה קיימת בהיקף המדיניות, חלים התנאים הבאים:

אם העדכון מפעיל את VPC Flow Logs או אם VPC Flow Logs כבר הופעל, ושיעור הדגימה מוגדר לערך שעומד בדרישות של המדיניות, אז רשת המשנה מתעדכנת עם VPC Flow Logs שמופעל עם שיעור הדגימה המבוקש.
אם העדכון מפעיל את יומני התנועה של VPC או אם יומני התנועה של VPC כבר הופעלו, וקצב הדגימה מוגדר לערך שלא עומד בדרישות המדיניות, מוחזרת שגיאה ורשת המשנה לא מתעדכנת.
אם העדכון משבית את VPC Flow Logs, מוחזרת שגיאה ורשת המשנה לא מתעדכנת.
אם העדכון לא מפעיל או משבית את יומני התנועה של VPC וגם לא מגדיר את קצב הדגימה, המדיניות מתעלמת מהעדכון ורשת המשנה מתעדכנת.

השפעות על יצירת רשתות VPC במצב אוטומטי

כשיוצרים רשת VPC במצב אוטומטי, נוצרת אוטומטית רשת משנה בכל אזור. אם הרשת נמצאת בהיקף של מדיניות VPC Flow Logs, האפשרות VPC Flow Logs מופעלת ברשתות המשנה עם קצב הדגימה המינימלי שמוגדר במדיניות. לדוגמה, אם המדיניות מוגדרת עם ערכי מדיניות של LIGHT ו-COMPREHENSIVE, שיעור הדגימה מוגדר ל-0.5 (50%).

ההשפעות על ההגדרה של VPC Flow Logs

אם רשת משנה נמצאת בהיקף של המדיניות, סינון היומנים אסור כדי לוודא שההגדרה של יומני התנועה של ה-VPC עומדת בדרישות המדיניות.

המאמרים הבאים

הגדרת יומני זרימה של VPC