אם מפעילים את Assured Open Source Software (תוכנת קוד פתוח מאומתת, Assured OSS) בתוך היקף שירות של VPC Service Controls, צריך להגדיר כללי יציאה.
המסמך הזה רלוונטי רק לרמת הפרימיום של Assured OSS.
מידע נוסף מופיע במאמר בנושא הגדרת מדיניות תעבורת נתונים יוצאת (egress).
לפני שמתחילים
חשוב לוודא שיש לכם את התפקידים הנדרשים להגדרת VPC Service Controls ברמת הארגון.
חשוב לוודא שיש לכם את הפרטים הבאים:
- חשבון השירות שבו השתמשתם כדי להגדיר את Assured OSS.
- סוכן השירות של Artifact Registry נוצר באופן אוטומטי כשמגדירים את Assured OSS.
- חשבון המשתמש שהגדיר את Assured OSS.
הגדרת כלל יציאה כשמורידים קבצים בינאריים
צריך להשלים את המשימה הזו עבור מאגרי Artifact Registry ועבור המשאביםGoogle Cloud שמפעילים הורדות (לדוגמה, מכונות וירטואליות של Compute Engine).
מגדירים את כלל היציאה הבא:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/GoRead
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
מחליפים את מה שכתוב בשדות הבאים:
ASSURED_OSS_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות שציינתם כשמגדירים את Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: כתובת האימייל של סוכן השירות של Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: כתובות האימייל של חשבונות שירות אחרים שנדרשת להם גישה לחבילות הקוד הפתוח.
USER_GROUP: הקבוצות שנדרשת להן גישה לחבילות הקוד הפתוח. לדוגמה,
group:my-group@example.comאוuser:alex@example.com.
הגדרת כלל תעבורת נתונים יוצאת (egress) כשניגשים למטא-נתוני אבטחה מקטגוריית Assured OSS
צריך להשלים את המשימה הזו עבור חשבון המשתמש וחשבון השירות שבהם השתמשתם כדי להגדיר את Assured OSS.
מגדירים את כלל היציאה הבא:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
מחליפים את מה שכתוב בשדות הבאים:
ASSURED_OSS_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות שציינתם כשמגדירים את Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: כתובת האימייל של חשבון המשתמש שבו השתמשתם כדי להגדיר את Assured OSS.
הגדרת כלל היציאה כשמגדירים התראות Pub/Sub
כדי להגדיר התראות Pub/Sub ל-Assured OSS, צריך לבצע את המשימה הזו.
יוצרים את כלל היציאה הבא:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
מחליפים את מה שכתוב בשדות הבאים:
ASSURED_OSS_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות שציינתם כשמגדירים את Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: כתובת האימייל של חשבון המשתמש שבו השתמשתם כדי להגדיר את Assured OSS.
אחרי שמגדירים את המינוי, אפשר להסיר את כלל היציאה הזה.