I Controlli di servizio VPCGoogle Cloud ti consentono di configurare un perimetro di servizio per proteggerti dall'esfiltrazione di dati. Configura Audit Manager con Controlli di servizio VPC in modo che Audit Manager possa accedere a risorse e servizi al di fuori del suo perimetro di servizio.
Prima di iniziare
- Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.
- Assicurati di disporre delle seguenti informazioni, a seconda che tu stia registrando una risorsa o eseguendo un audit in Audit Manager.
- Quando registri una risorsa per il controllo: l'account utente Google Cloud che hai specificato durante la configurazione di Audit Manager.
- Quando esegui un audit: l'agente di servizio Audit Manager che è stato creato automaticamente quando registri una risorsa per l'audit.
Limitazioni
- Non puoi utilizzare un perimetro per proteggere le risorse di Audit Manager a livello di cartella o di organizzazione. Per gestire le autorizzazioni di Audit Manager a livello di cartella o organizzazione, ti consigliamo di utilizzare IAM. Per saperne di più, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Configura le regole in entrata e in uscita
Configura le regole in entrata e in uscita in base alla configurazione del perimetro di servizio. Per saperne di più, consulta la panoramica del perimetro di servizio.
Potresti dover configurare le regole in entrata e in uscita quando esegui le seguenti azioni:
- Registrare una risorsa per il controllo
- Esegui un controllo
Configura le regole in entrata e in uscita quando registri una risorsa per l'audit
Puoi registrare un'organizzazione, una cartella o un progetto come risorsa per l'audit in Audit Manager.
Devi configurare le regole in entrata o in uscita quando una delle seguenti risorse non si trova all'interno dello stesso perimetro di servizio:
- l'agente di servizio Audit Manager
- il bucket Cloud Storage configurato come destinazione per archiviare i dati di audit
- i servizi coinvolti nel processo di revisione
I metodi Cloud Storage negli esempi riportati di seguito sono obbligatori. Puoi modificare le seguenti regole di ingresso e uscita di esempio per soddisfare i requisiti della tua attività.
Completa le seguenti attività per l'account utente Google Cloud che hai specificato durante la configurazione di Audit Manager.
Configura la seguente regola in entrata:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Sostituisci quanto segue:
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato durante la configurazione di Audit Manager
Configura la seguente regola di uscita:
- egressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Sostituisci quanto segue:
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato durante la configurazione di Audit Manager
Configura le regole in entrata e in uscita quando esegui un controllo
Puoi eseguire un controllo in base a framework di conformità predefiniti o personalizzati.
Configura le seguenti regole di ingresso o uscita quando la cartella o il progetto sottoposto ad audit e il bucket Cloud Storage registrato si trovano in perimetri di servizio diversi.
I metodi Cloud Storage negli esempi riportati di seguito sono obbligatori. Puoi modificare le seguenti regole in entrata e in uscita di esempio per soddisfare i requisiti della tua attività.
Configura la regola in entrata quando esegui un controllo per le cartelle
Configura la seguente regola di ingresso quando esegui un audit per una cartella e il bucket Cloud Storage registrato o uno dei progetti all'interno della cartella si trova all'interno del perimetro.
Completa questa attività per il account di servizio Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: "*"
resources: "*"
Sostituisci quanto segue:
- SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio di Audit Manager
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato durante la configurazione di Audit Manager
Configura la regola in entrata quando il bucket Cloud Storage registrato si trova all'interno di un perimetro di servizio
Configura la seguente regola in entrata se l'audit viene eseguito per un progetto e il bucket Cloud Storage registrato si trova all'interno di un perimetro di servizio.
Completa questa attività per il account di servizio Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Sostituisci quanto segue:
- SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio di Audit Manager
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato durante la configurazione di Audit Manager
Configura la regola di uscita quando il bucket Cloud Storage registrato si trova al di fuori di un perimetro di servizio
Configura la seguente regola in uscita se il controllo viene eseguito per un progetto all'interno di un perimetro di servizio e il bucket Cloud Storage registrato si trova al di fuori del perimetro.
Completa questa attività per il progetto che contiene il bucket Cloud Storage.
- egressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Sostituisci quanto segue:
- SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio di Audit Manager
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato durante la configurazione di Audit Manager
Se riscontri problemi con Controlli di servizio VPC, utilizza lo strumento di analisi delle violazioni dei Controlli di servizio VPC per eseguire il debug e analizzare il problema. Per saperne di più, consulta Diagnostica un rifiuto dell'accesso utilizzando l'ID univoco nello strumento di analisi delle violazioni.
Passaggi successivi
- Scopri di più sui Controlli di servizio VPC
- Consulta la voce Audit Manager nella tabella dei prodotti supportati dai Controlli di servizio VPC.