VPC Service Controls verwenden

VPC Service Controls ist ein Google Cloud -Feature, mit dem Sie einen Dienstperimeter einrichten können, der vor Daten-Exfiltration schützt.

VPC Service Controls in Developer Connect schützt nicht vor einer möglichen Exfiltration zu externen Quellcodeverwaltungssystemen. In diesem Leitfaden werden weitere Steuerelemente beschrieben, die benutzerdefinierte Organisationsrichtlinien verwenden, um diese Szenarien zu verhindern. SCMSs

Weitere Informationen zur Verwendung von VPC Service Controls finden Sie unter Dienstperimeter mit VPC Service Controls einrichten.

• Erstellen Sie eine benutzerdefinierte Organisationsrichtlinie, die einschränkt, zu welchen Ressourcen Ihre Entwickler Verbindungen herstellen können.

• Erstellen Sie eine benutzerdefinierte Organisationsrichtlinie, mit der Ihre Entwickler Verbindungen nur über eine bestimmte Service Directory-Ressource erstellen und aktualisieren können.

Hinweise

Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren und konfigurieren Sie die Google Cloud CLI.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization Policy Administrator (roles/orgpolicy.policyAdmin) für die Organisationsressource zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen oder Bearbeiten einer benutzerdefinierten Organisationsrichtlinie benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Einschränkung erstellen, um die SCMSs zu begrenzen, zu denen Ihr Team Verbindungen herstellen kann

Eine Möglichkeit, die Wahrscheinlichkeit einer Daten-Exfiltration in ein SCMS zu verringern, besteht darin, die für Verbindungen zulässigen SCMSs einzuschränken. Sie können eine benutzerdefinierte Organisationsrichtlinie erstellen, die Verbindungen zu einem oder mehreren angegebenen SCMSs zulässt.

Die folgende Organisationsrichtlinie schränkt Repository-Verbindungen ein, sodass nur Verbindungen zu GitHub Enterprise zulässig sind:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
  resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
  Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net

Einschränkung erstellen, um Verbindungen über Service Directory zu erzwingen

Sie können das Risiko des Datenabflusses verringern, indem Sie eine benutzerdefinierte Organisationsrichtlinie erstellen, die Verbindungen nur zu einem angegebenen Service Directory-Endpunkt zulässt.

Die folgende Organisationsrichtlinie erlaubt nur Verbindungen zu einem bestimmten Service Directory-Endpunkt:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
  resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
  Allows creation/update of Developer Connect connections only through a specific Service Directory resource

Nächste Schritte

• Weitere Informationen zum Erstellen benutzerdefinierter Organisationsrichtlinien

• Weitere Informationen zu VPC Service Controls

• Weitere Informationen zu Service Directory