Mengonfigurasi Kontrol Layanan VPC untuk Audit Manager

Google Cloud Kontrol Layanan VPC memungkinkan Anda menyiapkan perimeter layanan untuk mencegah pemindahan data yang tidak sah. Konfigurasi Audit Manager dengan Kontrol Layanan VPC sehingga Audit Manager dapat mengakses resource dan layanan di luar perimeter layanannya.

Sebelum memulai

  1. Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.
  2. Pastikan Anda memiliki informasi berikut, bergantung pada apakah Anda mendaftarkan resource atau menjalankan audit di Audit Manager.
    1. Saat Anda mendaftarkan resource untuk audit: Google Cloud akun pengguna yang Anda tentukan saat menyiapkan Audit Manager.
    2. Saat Anda menjalankan audit: agen layanan Audit Manager yang dibuat secara otomatis saat Anda mendaftarkan resource untuk audit.

Batasan

  • Anda tidak dapat menggunakan perimeter untuk melindungi resource Audit Manager level folder atau level organisasi. Untuk mengelola izin Audit Manager di level folder atau organisasi, sebaiknya gunakan IAM. Untuk mengetahui informasi selengkapnya, lihat Mengelola akses ke project, folder, dan organisasi.

Mengonfigurasi aturan ingress dan egress

Konfigurasi aturan ingress dan egress berdasarkan konfigurasi perimeter layanan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan perimeter layanan.

Anda mungkin harus mengonfigurasi ingress dan egress aturan saat Anda melakukan tindakan berikut:

  1. Mendaftarkan resource untuk audit
  2. Menjalankan audit

Mengonfigurasi aturan ingress dan egress saat Anda mendaftarkan resource untuk audit

Anda dapat mendaftarkan organisasi, folder, atau project sebagai resource untuk audit di Audit Manager.

Anda harus mengonfigurasi aturan ingress atau egress jika salah satu resource berikut tidak berada dalam perimeter layanan yang sama:

  • agen layanan Audit Manager
  • bucket Cloud Storage yang dikonfigurasi sebagai tujuan untuk menyimpan data audit
  • layanan yang terlibat dalam proses audit

Metode Cloud Storage dalam contoh berikut diperlukan. Anda dapat menyesuaikan contoh aturan ingress dan egress berikut untuk memenuhi persyaratan bisnis Anda.

Selesaikan tugas berikut untukakun pengguna yang Anda tentukan saat menyiapkan Audit Manager. Google Cloud

  1. Konfigurasi aturan ingress berikut:

    - ingressFrom:
        identities:
        - user: USER_EMAIL_ADDRESS
        sources:
            - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
              - method: google.storage.buckets.getIamPolicy
              - method: google.storage.buckets.testIamPermissions
              - method: google.storage.objects.getIamPolicy
              - method: google.storage.buckets.setIamPolicy
              - method: google.storage.objects.setIamPolicy
              - method: google.storage.objects.create
              - method: google.storage.objects.get
        resources: "*"
    

    Ganti kode berikut:

    • USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager
  2. Konfigurasi aturan egress berikut:

    - egressFrom:
       identities:
        - user: USER_EMAIL_ADDRESS
          sources:
            - accessLevel: "*"
      egressTo:
        operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
              - method: google.storage.buckets.getIamPolicy
              - method: google.storage.buckets.testIamPermissions
              - method: google.storage.objects.getIamPolicy
              - method: google.storage.buckets.setIamPolicy
              - method: google.storage.objects.setIamPolicy
              - method: google.storage.objects.create
              - method: google.storage.objects.get
      resources: "*"
    

    Ganti kode berikut:

    • USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

Mengonfigurasi aturan ingress dan egress saat Anda menjalankan audit

Anda dapat menjalankan audit terhadap framework.

Konfigurasi aturan ingress atau egress berikut jika folder atau project yang diaudit dan bucket Cloud Storage yang terdaftar berada di perimeter layanan yang berbeda.

Metode Cloud Storage dalam contoh berikut diperlukan. Anda dapat menyesuaikan contoh aturan ingress dan egress berikut untuk memenuhi persyaratan bisnis Anda.

Mengonfigurasi aturan ingress saat Anda menjalankan audit untuk folder

Konfigurasi aturan ingress berikut saat Anda menjalankan audit untuk folder dan bucket Cloud Storage yang terdaftar atau salah satu project dalam folder berada di dalam perimeter.

Selesaikan tugas ini untuk akun layanan Audit Manager.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: "*"
    resources: "*"

Ganti kode berikut:

  • SA_EMAIL_ADDRESS: alamat email akun layanan Audit Manager
  • USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

Mengonfigurasi aturan ingress saat bucket Cloud Storage yang terdaftar berada di dalam perimeter layanan

Konfigurasi aturan ingress berikut jika audit dijalankan untuk project dan bucket Cloud Storage yang terdaftar berada di dalam perimeter layanan.

Selesaikan tugas ini untuk akun layanan Audit Manager.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
  resources: "*"

Ganti kode berikut:

  • SA_EMAIL_ADDRESS: alamat email akun layanan Audit Manager
  • USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

Mengonfigurasi aturan egress saat bucket Cloud Storage yang terdaftar berada di luar perimeter layanan

Konfigurasi aturan egress berikut jika audit dijalankan untuk project dalam perimeter layanan dan bucket Cloud Storage yang terdaftar berada di luar perimeter.

Selesaikan tugas ini untuk project yang berisi bucket Cloud Storage.

- egressFrom:
   identities:
      - serviceAccount: SA_EMAIL_ADDRESS
        - user: USER_EMAIL_ADDRESS
      sources:
        - accessLevel: "*"
  egressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
    resources: "*"

Ganti kode berikut:

  • SA_EMAIL_ADDRESS: alamat email akun layanan Audit Manager
  • USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

Jika Anda mengalami masalah dengan Kontrol Layanan VPC, gunakan penganalisis pelanggaran Kontrol Layanan VPC untuk men-debug dan menganalisis masalah tersebut. Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis penolakan akses menggunakan ID unik di penganalisis pelanggaran.

Langkah berikutnya