Configura i Controlli di servizio VPC per Audit Manager

Google Cloud I Controlli di servizio VPC ti consentono di configurare un perimetro di servizio per proteggerti dall'esfiltrazione di dati. Configura Audit Manager con i Controlli di servizio VPC in modo che Audit Manager possa accedere a risorse e servizi al di fuori del suo perimetro di servizio.

Prima di iniziare

  1. Assicurati di disporre dei ruoli richiesti per configurare i Controlli di servizio VPC a livello di organizzazione.
  2. Assicurati di avere le seguenti informazioni, a seconda che tu stia registrando una risorsa o eseguendo un audit in Audit Manager.
    1. Quando registri una risorsa per l'audit: l' Google Cloud account utente che hai specificato quando hai configurato Audit Manager.
    2. Quando esegui un audit: l'agente di servizio Audit Manager creato automaticamente quando registri una risorsa per l'audit.

Limitazioni

  • Non puoi utilizzare un perimetro per proteggere le risorse di Audit Manager a livello di cartella o di organizzazione. Per gestire le autorizzazioni di Audit Manager a livello di cartella o di organizzazione, ti consigliamo di utilizzare IAM. Per saperne di più, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Configurare le regole in entrata e in uscita

Configura le regole in entrata e in uscita in base alla configurazione del perimetro di servizio. Per saperne di più, consulta Panoramica del perimetro di servizio.

Potresti dover configurare le regole in entrata e in uscita quando esegui le seguenti azioni:

  1. Registra una risorsa per l'audit
  2. Esegui un audit

Configurare le regole in entrata e in uscita quando registri una risorsa per l'audit

Puoi registrare un'organizzazione, una cartella o un progetto come risorsa per l' audit in Audit Manager.

Devi configurare le regole in entrata o in uscita quando una delle seguenti risorse non si trova nello stesso perimetro di servizio:

  • L'agente di servizio Audit Manager
  • Il bucket Cloud Storage configurato come destinazione per archiviare i dati di audit
  • I servizi coinvolti nel processo di audit

I metodi Cloud Storage nei seguenti esempi sono obbligatori. Puoi modificare le seguenti regole in entrata e in uscita di esempio in base alle esigenze della tua attività.

Completa le seguenti attività per l' Google Cloud account utente che hai specificato quando hai configurato Audit Manager.

  1. Configura la seguente regola in entrata:

    - ingressFrom:
        identities:
        - user: USER_EMAIL_ADDRESS
        sources:
            - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
              - method: google.storage.buckets.getIamPolicy
              - method: google.storage.buckets.testIamPermissions
              - method: google.storage.objects.getIamPolicy
              - method: google.storage.buckets.setIamPolicy
              - method: google.storage.objects.setIamPolicy
              - method: google.storage.objects.create
              - method: google.storage.objects.get
        resources: "*"
    

    Sostituisci quanto segue:

    • USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager
  2. Configura la seguente regola in uscita:

    - egressFrom:
       identities:
        - user: USER_EMAIL_ADDRESS
          sources:
            - accessLevel: "*"
      egressTo:
        operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
              - method: google.storage.buckets.getIamPolicy
              - method: google.storage.buckets.testIamPermissions
              - method: google.storage.objects.getIamPolicy
              - method: google.storage.buckets.setIamPolicy
              - method: google.storage.objects.setIamPolicy
              - method: google.storage.objects.create
              - method: google.storage.objects.get
      resources: "*"
    

    Sostituisci quanto segue:

    • USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager

Configurare le regole in entrata e in uscita quando esegui un audit

Puoi eseguire un audit su un framework.

Configura le seguenti regole in entrata o in uscita quando la cartella o il progetto sottoposto ad audit e il bucket Cloud Storage registrato si trovano in perimetri di servizio diversi.

I metodi Cloud Storage nei seguenti esempi sono obbligatori. Puoi modificare le seguenti regole in entrata e in uscita di esempio in base alle esigenze della tua attività.

Configurare la regola in entrata quando esegui un audit per le cartelle

Configura la seguente regola in entrata quando esegui un audit per una cartella e il bucket Cloud Storage registrato o uno dei progetti all'interno della cartella si trova all'interno del perimetro.

Completa questa attività per il account di servizio Audit Manager.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: "*"
    resources: "*"

Sostituisci quanto segue:

  • SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio Audit Manager
  • USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager

Configurare la regola in entrata quando il bucket Cloud Storage registrato si trova all'interno di un perimetro di servizio

Configura la seguente regola in entrata se l'audit viene eseguito per un progetto e il bucket Cloud Storage registrato si trova all'interno di un perimetro di servizio.

Completa questa attività per il account di servizio Audit Manager.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
  resources: "*"

Sostituisci quanto segue:

  • SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio Audit Manager
  • USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager

Configurare la regola in uscita quando il bucket Cloud Storage registrato si trova all'esterno di un perimetro di servizio

Configura la seguente regola in uscita se l'audit viene eseguito per un progetto all'interno di un perimetro di servizio e il bucket Cloud Storage registrato si trova all'esterno del perimetro.

Completa questa attività per il progetto che contiene il bucket Cloud Storage.

- egressFrom:
   identities:
      - serviceAccount: SA_EMAIL_ADDRESS
        - user: USER_EMAIL_ADDRESS
      sources:
        - accessLevel: "*"
  egressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
    resources: "*"

Sostituisci quanto segue:

  • SA_EMAIL_ADDRESS: l'indirizzo email del account di servizio Audit Manager
  • USER_EMAIL_ADDRESS: l'indirizzo email che hai specificato quando hai configurato Audit Manager

Se riscontri problemi con i Controlli di servizio VPC, utilizza lo strumento di analisi delle violazioni dei Controlli di servizio VPC per eseguire il debug e analizzare il problema. Per saperne di più, consulta Diagnostica un rifiuto dell'accesso utilizzando l'ID univoco nello strumento di analisi delle violazioni.

Passaggi successivi