O VPC Service Controls é um recurso do Google Cloud que permite configurar um perímetro de serviço para evitar a exfiltração de dados.
O VPC Service Controls no Developer Connect não protege contra possível exfiltração para sistemas externos de gerenciamento de código-fonte. Este guia mostra outros controles que usam políticas personalizadas da organização para ajudar a bloquear esses cenários. SCMSs
Consulte Configurar um perímetro de serviço usando o VPC Service Controls para mais informações sobre como usar o VPC Service Controls.
Crie uma política da organização personalizada que restrinja a criação de conexões pelos desenvolvedores.
Crie uma política personalizada da organização que permita aos desenvolvedores criar e atualizar conexões apenas por um recurso específico do Diretório de serviços.
Antes de começar
Para usar os exemplos de linha de comando neste guia, instale e configure a Google Cloud CLI.
Funções exigidas
Para receber as permissões
necessárias para criar ou editar uma política personalizada da organização,
peça ao administrador para conceder a você o
papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
no recurso da organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Crie uma restrição para limitar os SCMSs a que sua equipe pode criar conexões
Uma maneira de reduzir a possibilidade de exfiltração de dados para um SCMS é limitar quais SCMSs são permitidos para conexões. É possível criar uma política da organização personalizada que permite conexões com um ou mais SCMSs especificados.
A política da organização a seguir limita as conexões de repositório para permitir conexões somente com o GitHub Enterprise:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net
Criar uma restrição para exigir conexões pelo Diretório de serviços
Para reduzir a possibilidade de exfiltração de dados, crie uma política da organização personalizada que permita conexões apenas com um endpoint especificado do Diretório de serviços.
A política da organização a seguir permite conexões apenas com um endpoint específico do Diretório de serviços:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
Allows creation/update of Developer Connect connections only through a specific Service Directory resource
A seguir
Saiba mais sobre como criar políticas personalizadas da organização.
Saiba mais sobre o VPC Service Controls.
Saiba mais sobre o Diretório de serviços.