Se abiliti Assured Open Source Software (Assured OSS) all'interno di un perimetro di servizio dei Controlli di servizio VPC, devi configurare le regole in uscita.
Questo documento si applica solo al livello Premium di Assured OSS.
Per saperne di più, consulta Configurare le policy in uscita.
Prima di iniziare
Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.
Assicurati di conoscere le seguenti informazioni:
- Il account di servizio che hai utilizzato per configurare Assured OSS.
- L'agente di servizio Artifact Registry creato automaticamente durante la configurazione di Assured OSS.
- L'account utente che ha configurato Assured OSS.
Configurare la regola in uscita durante il download dei file binari
Completa questa attività per i repository Artifact Registry e per le Google Cloud risorse che avviano i download (ad esempio, le VM di Compute Engine).
Configura la seguente regola in uscita:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/GoRead
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email del account di servizio che hai specificato durante la configurazione di Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: l'indirizzo email dell'agente di servizio Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: gli indirizzi email di altri service account che richiedono l'accesso ai pacchetti open source.
USER_GROUP: i gruppi che richiedono l'accesso ai pacchetti open source. Ad esempio,
group:my-group@example.comouser:alex@example.com.
Configurare la regola in uscita durante l'accesso ai metadati di sicurezza dal bucket Assured OSS
Completa questa attività per l'account utente e account di servizio che hai utilizzato per configurare Assured OSS.
Configura la seguente regola in uscita:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email del account di servizio che hai specificato durante la configurazione di Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: l'indirizzo email dell'account utente che hai utilizzato per configurare Assured OSS.
Configurare la regola in uscita durante la configurazione delle notifiche Pub/Sub
Completa questa attività per configurare le notifiche Pub/Sub per Assured OSS.
Crea la seguente regola in uscita:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email del account di servizio che hai specificato durante la configurazione di Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: l'indirizzo email dell'account utente che hai utilizzato per configurare Assured OSS.
Dopo aver configurato l'abbonamento, puoi rimuovere questa regola in uscita.
Passaggi successivi
Scopri di più sulla configurazione delle policy in uscita.
Abilita Security Command Center con i Controlli di servizio VPC.