Utiliser VPC Service Controls

VPC Service Controls est une fonctionnalité Google Cloud qui vous permet de configurer un périmètre de service pour vous protéger contre l'exfiltration de données.

Dans Developer Connect, VPC Service Controls ne protège pas contre l'exfiltration potentielle vers des systèmes de gestion de code source externes. Ce guide présente d'autres contrôles qui utilisent des règles d'organisation personnalisées pour bloquer ces scénarios. SCMS

Pour en savoir plus sur l'utilisation de VPC Service Controls, consultez Configurer un périmètre de service à l'aide de VPC Service Controls.

  • Créez une règle d'administration personnalisée qui limite les connexions que vos développeurs peuvent créer.

  • Créez une règle d'organisation personnalisée qui autorise vos développeurs à créer et à mettre à jour des connexions uniquement via une ressource Annuaire des services spécifique.

Avant de commencer

Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez la Google Cloud CLI.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer ou modifier une règle d'administration personnalisée, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans la ressource d'organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une contrainte pour limiter les SCMS auxquels votre équipe peut créer des connexions

Pour limiter le risque d'exfiltration de données vers un SCMS, vous pouvez limiter les SCMS autorisés pour les connexions. Vous pouvez créer une règle d'administration personnalisée qui autorise les connexions à un ou plusieurs SCMS spécifiés.

La règle d'administration de l'organisation suivante limite les connexions de dépôt pour n'autoriser que les connexions à GitHub Enterprise :

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
  resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
  Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net

Créer une contrainte pour exiger des connexions via l'Annuaire des services

Pour limiter le risque d'exfiltration de données, vous pouvez créer une règle d'administration personnalisée qui autorise les connexions uniquement à un point de terminaison Service Directory spécifique.

La règle d'administration suivante autorise les connexions à un point de terminaison Annuaire des services spécifique uniquement :

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
  resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
  Allows creation/update of Developer Connect connections only through a specific Service Directory resource

Étapes suivantes