Google Cloud I Controlli di servizio VPC ti consentono di configurare un perimetro di servizio per proteggerti dall'esfiltrazione di dati. Configura Audit Manager con i Controlli di servizio VPC in modo che Audit Manager possa accedere a risorse e servizi al di fuori del suo perimetro di servizio.
Prima di iniziare
- Assicurati di disporre dei ruoli richiesti per configurare i Controlli di servizio VPC a livello di organizzazione.
- Assicurati di avere le seguenti informazioni, a seconda che tu stia registrando una risorsa o eseguendo un audit in Audit Manager.
- Quando registri una risorsa per l'audit: l' Google Cloud account utente che hai specificato quando hai configurato Audit Manager.
- Quando esegui un audit: l'agente di servizio Audit Manager creato automaticamente quando registri una risorsa per l'audit.
Limitazioni
- Non puoi utilizzare un perimetro per proteggere le risorse di Audit Manager a livello di cartella o di organizzazione. Per gestire le autorizzazioni di Audit Manager a livello di cartella o di organizzazione, ti consigliamo di utilizzare IAM. Per saperne di più, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Configurare le regole in entrata e in uscita
Configura le regole in entrata e in uscita in base alla configurazione del perimetro di servizio. Per saperne di più, consulta Panoramica del perimetro di servizio.
Potresti dover configurare le regole in entrata e in uscita quando esegui le seguenti azioni:
- Registra una risorsa per l'audit
- Esegui un audit
Configurare le regole in entrata e in uscita quando registri una risorsa per l'audit
Puoi registrare un'organizzazione, una cartella o un progetto come risorsa per l' audit in Audit Manager.
Devi configurare le regole in entrata o in uscita quando una delle seguenti risorse non si trova nello stesso perimetro di servizio:
- L'agente di servizio Audit Manager
- Il bucket Cloud Storage configurato come destinazione per archiviare i dati di audit
- I servizi coinvolti nel processo di audit
I metodi Cloud Storage nei seguenti esempi sono obbligatori. Puoi modificare le seguenti regole in entrata e in uscita di esempio in base alle esigenze della tua attività.
Completa le seguenti attività per l' Google Cloud account utente che hai specificato quando hai configurato Audit Manager.
Configura la seguente regola in entrata:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Sostituisci quanto segue:
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager
Configura la seguente regola in uscita:
- egressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Sostituisci quanto segue:
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager
Configurare le regole in entrata e in uscita quando esegui un audit
Puoi eseguire un audit su un framework.
Configura le seguenti regole in entrata o in uscita quando la cartella o il progetto sottoposto ad audit e il bucket Cloud Storage registrato si trovano in perimetri di servizio diversi.
I metodi Cloud Storage nei seguenti esempi sono obbligatori. Puoi modificare le seguenti regole in entrata e in uscita di esempio in base alle esigenze della tua attività.
Configurare la regola in entrata quando esegui un audit per le cartelle
Configura la seguente regola in entrata quando esegui un audit per una cartella e il bucket Cloud Storage registrato o uno dei progetti all'interno della cartella si trova all'interno del perimetro.
Completa questa attività per il account di servizio Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: "*"
resources: "*"
Sostituisci quanto segue:
- SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio Audit Manager
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager
Configurare la regola in entrata quando il bucket Cloud Storage registrato si trova all'interno di un perimetro di servizio
Configura la seguente regola in entrata se l'audit viene eseguito per un progetto e il bucket Cloud Storage registrato si trova all'interno di un perimetro di servizio.
Completa questa attività per il account di servizio Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Sostituisci quanto segue:
- SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio Audit Manager
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager
Configurare la regola in uscita quando il bucket Cloud Storage registrato si trova all'esterno di un perimetro di servizio
Configura la seguente regola in uscita se l'audit viene eseguito per un progetto all'interno di un perimetro di servizio e il bucket Cloud Storage registrato si trova all'esterno del perimetro.
Completa questa attività per il progetto che contiene il bucket Cloud Storage.
- egressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Sostituisci quanto segue:
- SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio Audit Manager
- USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager
Se riscontri problemi con i Controlli di servizio VPC, utilizza lo strumento di analisi delle violazioni dei Controlli di servizio VPC per eseguire il debug e analizzare il problema. Per saperne di più, consulta Diagnostica un rifiuto dell'accesso utilizzando l'ID univoco nello strumento di analisi delle violazioni.
Passaggi successivi
- Scopri di più su Controlli di servizio VPC.
- Consulta la voce Audit Manager nella tabella dei prodotti supportati dai Controlli di servizio VPC.