Google Cloud Los Controles del servicio de VPC te permiten configurar un perímetro de servicio para protegerte contra el robo de datos. Configura el Administrador de auditorías con los Controles del servicio de VPC para que pueda acceder a recursos y servicios fuera de su perímetro de servicio.
Antes de comenzar
- Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.
- Asegúrate de tener la siguiente información, según si inscribes un recurso o ejecutas una auditoría en Audit Manager.
- Cuando inscribes un recurso para la auditoría: La cuenta de usuario Google Cloud que especificaste cuando configuraste el Administrador de auditorías.
- Cuando ejecutas una auditoría: El agente de servicio del Administrador de auditorías que se creó automáticamente cuando inscribiste un recurso para la auditoría.
Limitaciones
- No puedes usar un perímetro para proteger los recursos de Audit Manager a nivel de la carpeta o de la organización. Para administrar los permisos de Audit Manager a nivel de la organización o de la carpeta, te recomendamos usar IAM. Para obtener más información, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Configura las reglas de entrada y salida
Configura las reglas de entrada y salida según la configuración del perímetro de servicio. Para obtener más información, consulta Descripción general del perímetro de servicio.
Es posible que debas configurar las reglas de entrada y salida cuando realices las siguientes acciones:
- Inscribe un recurso para la auditoría
- Cómo ejecutar una auditoría
Configura las reglas de entrada y salida cuando inscribas un recurso para la auditoría
Puedes inscribir una organización, una carpeta o un proyecto como recurso para la auditoría en el Administrador de auditorías.
Debes configurar reglas de entrada o salida cuando alguno de los siguientes recursos no se encuentre dentro del mismo perímetro de servicio:
- El agente de servicio de Audit Manager
- El bucket de Cloud Storage configurado como destino para almacenar los datos de auditoría
- Los servicios involucrados en el proceso de auditoría
Los métodos de Cloud Storage en los siguientes ejemplos son obligatorios. Puedes ajustar las siguientes reglas de entrada y salida de ejemplo para satisfacer los requisitos de tu empresa.
Completa las siguientes tareas para la Google Cloud cuenta de usuario que especificaste cuando configuraste Audit Manager.
Configura la siguiente regla de entrada:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Reemplaza lo siguiente:
- USER_EMAIL_ADDRESS: La dirección de correo electrónico que especificaste cuando configuraste el Administrador de auditorías
Configura la siguiente regla de salida:
- egressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Reemplaza lo siguiente:
- USER_EMAIL_ADDRESS: La dirección de correo electrónico que especificaste cuando configuraste el Administrador de auditorías
Configura las reglas de entrada y salida cuando ejecutes una auditoría
Puedes ejecutar una auditoría en marcos de cumplimiento predefinidos o personalizados.
Configura las siguientes reglas de entrada o salida cuando la carpeta o el proyecto que se auditan y el bucket de Cloud Storage inscrito se encuentren en diferentes perímetros de servicio.
Los métodos de Cloud Storage en los siguientes ejemplos son obligatorios. Puedes ajustar las siguientes reglas de entrada y salida de muestra para satisfacer tus requisitos comerciales.
Configura la regla de entrada cuando ejecutes una auditoría de carpetas
Configura la siguiente regla de entrada cuando ejecutes una auditoría para una carpeta y el bucket de Cloud Storage registrado o uno de los proyectos dentro de la carpeta esté dentro del perímetro.
Completa esta tarea para la cuenta de servicio del Administrador de auditorías.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: "*"
resources: "*"
Reemplaza lo siguiente:
- SA_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio del Administrador de auditorías
- USER_EMAIL_ADDRESS: La dirección de correo electrónico que especificaste cuando configuraste el Administrador de auditorías
Configura la regla de entrada cuando el bucket de Cloud Storage inscrito se encuentre dentro de un perímetro de servicio
Configura la siguiente regla de entrada si la auditoría se ejecuta para un proyecto y el bucket de Cloud Storage inscrito está dentro de un perímetro de servicio.
Completa esta tarea para la cuenta de servicio del Administrador de auditorías.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Reemplaza lo siguiente:
- SA_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio del Administrador de auditorías
- USER_EMAIL_ADDRESS: La dirección de correo electrónico que especificaste cuando configuraste el Administrador de auditorías
Configura la regla de salida cuando el bucket de Cloud Storage inscrito esté fuera de un perímetro de servicio
Configura la siguiente regla de salida si la auditoría se ejecuta para un proyecto dentro de un perímetro de servicio y el bucket de Cloud Storage inscrito está fuera del perímetro.
Completa esta tarea para el proyecto que contiene el bucket de Cloud Storage.
- egressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Reemplaza lo siguiente:
- SA_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio del Administrador de auditorías
- USER_EMAIL_ADDRESS: La dirección de correo electrónico que especificaste cuando configuraste el Administrador de auditorías
Si tienes problemas con los Controles del servicio de VPC, usa el analizador de incumplimientos de los Controles del servicio de VPC para depurar y analizar el problema. Para obtener más información, consulta Diagnostica una denegación de acceso con el ID único en el analizador de incumplimientos.
¿Qué sigue?
- Obtén más información sobre los controles de servicio de VPC.
- Consulta la entrada de Audit Manager en la tabla de productos compatibles con los Controles del servicio de VPC.