Google Cloud VPC Service Controls vous permet de configurer un périmètre de service pour vous protéger contre l'exfiltration de données. Configurez Audit Manager avec VPC Service Controls pour qu'Audit Manager puisse accéder aux ressources et services en dehors de son périmètre de service.
Avant de commencer
- Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.
- Assurez-vous de disposer des informations suivantes, selon que vous enregistrez une ressource ou exécutez un audit dans Audit Manager.
- Lorsque vous enregistrez une ressource pour l'audit : le Google Cloud compte utilisateur que vous avez spécifié lors de la configuration d'Audit Manager.
- Lorsque vous exécutez un audit : l'agent de service Audit Manager qui a été créé automatiquement lorsque vous avez inscrit une ressource pour l'audit.
Limites
- Vous ne pouvez pas utiliser de périmètre pour protéger les ressources Audit Manager au niveau du dossier ou de l'organisation. Pour gérer les autorisations Audit Manager au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM. Pour en savoir plus, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Configurer les règles d'entrée et de sortie
Configurez des règles d'entrée et de sortie en fonction de la configuration du périmètre de service. Pour en savoir plus, consultez Présentation des périmètres de service.
Vous devrez peut-être configurer les règles d'entrée et de sortie lorsque vous effectuez les actions suivantes :
- Enregistrer une ressource pour l'audit
- Exécuter un audit
Configurer des règles d'entrée et de sortie lorsque vous enregistrez une ressource pour l'audit
Vous pouvez enregistrer une organisation, un dossier ou un projet en tant que ressource à auditer dans Audit Manager.
Vous devez configurer des règles d'entrée ou de sortie lorsque l'une des ressources suivantes ne se trouve pas dans le même périmètre de service :
- l'agent de service Audit Manager
- le bucket Cloud Storage configuré comme destination pour stocker les données d'audit.
- les services concernés par l'audit ;
Les méthodes Cloud Storage des exemples suivants sont obligatoires. Vous pouvez ajuster les exemples de règles d'entrée et de sortie suivants pour répondre aux besoins de votre entreprise.
Effectuez les tâches suivantes pour le compte utilisateur Google Cloud que vous avez spécifié lors de la configuration d'Audit Manager.
Configurez la règle d'entrée suivante :
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Remplacez les éléments suivants :
- USER_EMAIL_ADDRESS : adresse e-mail que vous avez spécifiée lorsque vous avez configuré Audit Manager
Configurez la règle de sortie suivante :
- egressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Remplacez les éléments suivants :
- USER_EMAIL_ADDRESS : adresse e-mail que vous avez spécifiée lorsque vous avez configuré Audit Manager
Configurer les règles d'entrée et de sortie lorsque vous exécutez un audit
Vous pouvez exécuter un audit sur des frameworks de conformité prédéfinis ou personnalisés.
Configurez les règles d'entrée ou de sortie suivantes lorsque le dossier ou le projet en cours d'audit et le bucket Cloud Storage enregistré se trouvent dans des périmètres de service différents.
Les méthodes Cloud Storage des exemples suivants sont obligatoires. Vous pouvez ajuster les exemples de règles d'entrée et de sortie suivants pour répondre aux besoins de votre entreprise.
Configurer la règle d'entrée lorsque vous exécutez un audit pour les dossiers
Configurez la règle d'entrée suivante lorsque vous exécutez un audit pour un dossier et que le bucket Cloud Storage enregistré ou l'un des projets du dossier se trouve dans le périmètre.
Effectuez cette tâche pour le compte de service Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: "*"
resources: "*"
Remplacez les éléments suivants :
- SA_EMAIL_ADDRESS : adresse e-mail du compte de service Audit Manager
- USER_EMAIL_ADDRESS : adresse e-mail que vous avez spécifiée lorsque vous avez configuré Audit Manager
Configurer la règle d'entrée lorsque le bucket Cloud Storage enregistré se trouve dans un périmètre de service
Configurez la règle d'entrée suivante si l'audit est exécuté pour un projet et que le bucket Cloud Storage enregistré se trouve dans un périmètre de service.
Effectuez cette tâche pour le compte de service Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Remplacez les éléments suivants :
- SA_EMAIL_ADDRESS : adresse e-mail du compte de service Audit Manager
- USER_EMAIL_ADDRESS : adresse e-mail que vous avez spécifiée lorsque vous avez configuré Audit Manager
Configurer la règle de sortie lorsque le bucket Cloud Storage enregistré se trouve en dehors d'un périmètre de service
Configurez la règle de sortie suivante si l'audit est exécuté pour un projet dans un périmètre de service et que le bucket Cloud Storage enregistré se trouve en dehors du périmètre.
Effectuez cette tâche pour le projet contenant le bucket Cloud Storage.
- egressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Remplacez les éléments suivants :
- SA_EMAIL_ADDRESS : adresse e-mail du compte de service Audit Manager
- USER_EMAIL_ADDRESS : adresse e-mail que vous avez spécifiée lorsque vous avez configuré Audit Manager
Si vous rencontrez des problèmes avec VPC Service Controls, utilisez l'analyseur de cas de non-conformité de VPC Service Controls pour les déboguer et les analyser. Pour en savoir plus, consultez Diagnostiquer un refus d'accès à l'aide d'un identifiant unique dans l'analyseur des cas de non-respect.
Étapes suivantes
- Apprenez-en plus sur VPC Service Controls.
- Consultez l'entrée "Audit Manager" dans le tableau des produits compatibles avec VPC Service Controls.