I Controlli di servizio VPC sono una funzionalità Google Cloud che ti consente di configurare un perimetro di servizio per proteggerti dall'esfiltrazione di dati.
I Controlli di servizio VPC in Developer Connect non proteggono da una possibile esfiltrazione verso sistemi di gestione del codice sorgente esterni. Questa guida mostra ulteriori controlli che utilizzano le policy dell'organizzazione personalizzate per bloccare questi scenari. SCMS
Per saperne di più su come utilizzare i Controlli di servizio VPC, consulta Configura un perimetro di servizio utilizzando i Controlli di servizio VPC.
Crea una policy dell'organizzazione personalizzata che limiti le connessioni che gli sviluppatori possono creare.
Crea una policy dell'organizzazione personalizzata che consenta agli sviluppatori di creare e aggiornare le connessioni solo tramite una risorsa Service Directory specifica.
Prima di iniziare
Per utilizzare gli esempi di riga di comando in questa guida, installa e configura Google Cloud CLI.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare o modificare una policy dell'organizzazione personalizzata, chiedi all'amministratore di concederti il ruolo IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin) sulla risorsa organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Crea un vincolo per limitare gli SCMS a cui il tuo team può creare connessioni
Un modo per ridurre la possibilità di esfiltrazione di dati in un SCM è limitare quali SCM sono consentiti per le connessioni. Puoi creare una norma dell'organizzazione personalizzata che consente le connessioni a uno o più SCMS specificati.
La seguente policy dell'organizzazione limita le connessioni ai repository per consentire solo le connessioni a GitHub Enterprise:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net
Crea un vincolo per richiedere le connessioni tramite Service Directory
Puoi ridurre la possibilità di esfiltrazione di dati creando una policy dell'organizzazione personalizzata che consenta le connessioni solo a un endpoint Service Directory specificato.
La seguente policy dell'organizzazione consente connessioni solo a un endpoint Service Directory specifico:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
Allows creation/update of Developer Connect connections only through a specific Service Directory resource
Passaggi successivi
Scopri di più sulla creazione di policy dell'organizzazione personalizzate.
Scopri di più sui Controlli di servizio VPC.
Scopri di più su Service Directory.