Mengonfigurasi Kontrol Layanan VPC untuk Audit Manager

Google Cloud Kontrol Layanan VPC memungkinkan Anda menyiapkan perimeter layanan untuk mencegah pemindahan data yang tidak sah. Konfigurasi Audit Manager dengan Kontrol Layanan VPC sehingga Audit Manager dapat mengakses resource dan layanan di luar perimeter layanan.

Sebelum memulai

1. Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.
2. Pastikan Anda memiliki informasi berikut, bergantung pada apakah Anda mendaftarkan resource atau menjalankan audit di Audit Manager.
   1. Saat Anda mendaftarkan resource untuk diaudit: Google Cloud akun pengguna yang Anda tentukan saat menyiapkan Audit Manager.
   2. Saat Anda menjalankan audit: agen layanan Audit Manager yang dibuat secara otomatis saat Anda mendaftarkan resource untuk audit.

Batasan

• Anda tidak dapat menggunakan perimeter untuk melindungi resource Audit Manager level folder atau level organisasi. Untuk mengelola izin Audit Manager di level folder atau organisasi, sebaiknya gunakan IAM. Untuk mengetahui informasi selengkapnya, lihat Mengelola akses ke project, folder, dan organisasi.

Mengonfigurasi aturan ingress dan egress

Mengonfigurasi aturan ingress dan egress berdasarkan konfigurasi perimeter layanan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan perimeter layanan.

Anda mungkin harus mengonfigurasi aturan ingress dan egress saat Anda melakukan tindakan berikut:

1. Mendaftarkan resource untuk audit
2. Menjalankan audit

Mengonfigurasi aturan masuk dan keluar saat Anda mendaftarkan resource untuk pengauditan

Anda dapat mendaftarkan organisasi, folder, atau project sebagai resource untuk audit di Audit Manager.

Anda harus mengonfigurasi aturan ingress atau egress jika salah satu resource berikut tidak berada dalam perimeter layanan yang sama:

• agen layanan Audit Manager
• bucket Cloud Storage yang dikonfigurasi sebagai tujuan untuk menyimpan data audit
• layanan yang terlibat dalam proses audit

Metode Cloud Storage dalam contoh berikut diperlukan. Anda dapat menyesuaikan contoh aturan ingress dan egress berikut agar sesuai dengan persyaratan bisnis Anda.

Selesaikan tugas berikut untuk Google Cloud akun pengguna yang Anda tentukan saat menyiapkan Audit Manager.

1. Konfigurasi aturan ingress berikut:

   - ingressFrom:
       identities:
       - user: USER_EMAIL_ADDRESS
       sources:
           - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: storage.googleapis.com
           methodSelectors:
             - method: google.storage.buckets.getIamPolicy
             - method: google.storage.buckets.testIamPermissions
             - method: google.storage.objects.getIamPolicy
             - method: google.storage.buckets.setIamPolicy
             - method: google.storage.objects.setIamPolicy
             - method: google.storage.objects.create
             - method: google.storage.objects.get
       resources: "*"
   

   Ganti kode berikut:

   • USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

2. Konfigurasi aturan keluar berikut:

   - egressFrom:
      identities:
       - user: USER_EMAIL_ADDRESS
         sources:
           - accessLevel: "*"
     egressTo:
       operations:
         - serviceName: storage.googleapis.com
           methodSelectors:
             - method: google.storage.buckets.getIamPolicy
             - method: google.storage.buckets.testIamPermissions
             - method: google.storage.objects.getIamPolicy
             - method: google.storage.buckets.setIamPolicy
             - method: google.storage.objects.setIamPolicy
             - method: google.storage.objects.create
             - method: google.storage.objects.get
     resources: "*"
   

   Ganti kode berikut:

   • USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

Mengonfigurasi aturan ingress dan egress saat Anda menjalankan audit

Anda dapat menjalankan audit terhadap framework kepatuhan standar atau kustom.

Konfigurasi aturan ingress atau egress berikut saat folder atau project yang diaudit dan bucket Cloud Storage yang terdaftar berada di perimeter layanan yang berbeda.

Metode Cloud Storage dalam contoh berikut diperlukan. Anda dapat menyesuaikan contoh aturan ingress dan egress berikut agar sesuai dengan persyaratan bisnis Anda.

Mengonfigurasi aturan ingress saat Anda menjalankan audit untuk folder

Konfigurasi aturan ingress berikut saat Anda menjalankan audit untuk folder dan bucket Cloud Storage yang terdaftar atau salah satu project dalam folder tersebut berada di dalam perimeter.

Selesaikan tugas ini untuk akun layanan Audit Manager.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: "*"
    resources: "*"

Ganti kode berikut:

• SA_EMAIL_ADDRESS: alamat email akun layanan Audit Manager
• USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

Mengonfigurasi aturan ingress saat bucket Cloud Storage yang terdaftar berada di dalam perimeter layanan

Konfigurasi aturan ingress berikut jika audit dijalankan untuk project dan bucket Cloud Storage yang terdaftar berada di dalam perimeter layanan.

Selesaikan tugas ini untuk akun layanan Audit Manager.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
  resources: "*"

Ganti kode berikut:

• SA_EMAIL_ADDRESS: alamat email akun layanan Audit Manager
• USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

Mengonfigurasi aturan keluar saat bucket Cloud Storage yang terdaftar berada di luar perimeter layanan

Konfigurasi aturan egress berikut jika audit dijalankan untuk project dalam perimeter layanan dan bucket Cloud Storage yang terdaftar berada di luar perimeter.

Selesaikan tugas ini untuk project yang berisi bucket Cloud Storage.

- egressFrom:
   identities:
      - serviceAccount: SA_EMAIL_ADDRESS
        - user: USER_EMAIL_ADDRESS
      sources:
        - accessLevel: "*"
  egressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
    resources: "*"

Ganti kode berikut:

• SA_EMAIL_ADDRESS: alamat email akun layanan Audit Manager
• USER_EMAIL_ADDRESS: alamat email yang Anda tentukan saat menyiapkan Audit Manager

Jika Anda mengalami masalah dengan Kontrol Layanan VPC, gunakan penganalisis pelanggaran Kontrol Layanan VPC untuk men-debug dan menganalisis masalah tersebut. Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis penolakan akses menggunakan ID unik di penganalisis pelanggaran.

Langkah berikutnya

• Pelajari lebih lanjut Kontrol Layanan VPC.
• Lihat entri Audit Manager di tabel produk yang didukung Kontrol Layanan VPC.