Cette page a été traduite par l'API Cloud Translation.

Utiliser Mandiant Attack Surface Management avec VPC Service Controls

Ce document explique comment ajouter des règles d'entrée pour autoriser Mandiant Attack Surface Management dans les périmètres VPC Service Controls. Pour restreindre les services dans les projets que vous souhaitez que Mandiant Attack Surface Management surveille si votre organisation utilise VPC Service Controls, effectuez cette tâche. Pour en savoir plus sur Mandiant Attack Surface Management, consultez la présentation de Mandiant Attack Surface Management.

Rôles requis

Pour obtenir les autorisations nécessaires à l'utilisation de Mandiant Attack Surface Management dans les périmètres VPC Service Controls. , demandez à votre administrateur de vous accorder le rôle IAM Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor) dans votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer les règles d'entrée

Pour autoriser Mandiant Attack Surface Management dans Security Command Center au sein des périmètres VPC Service Controls, ajoutez les règles d'entrée requises dans ces périmètres. Effectuez ces étapes pour chaque périmètre que vous souhaitez que Mandiant Attack Surface Management surveille.

Pour en savoir plus, consultez Mettre à jour les règles d'entrée et de sortie pour un périmètre de service.

Console

Dans la console Google Cloud , accédez à la page VPC Service Controls.

Accéder à VPC Service Controls
Sélectionnez votre organisation ou votre projet.
Dans la liste déroulante, sélectionnez la règle d'accès contenant le périmètre de service auquel vous souhaitez accorder l'accès.

Les périmètres de service associés à la règle d'accès apparaissent dans la liste.
Cliquez sur le nom du périmètre de service que vous souhaitez modifier.

Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName :
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Cliquez sur Modifier.
Cliquez sur Règle d'entrée.
Cliquez sur Ajouter une règle d'entrée.
Dans la section De, définissez les détails suivants :
1. Pour Identités > Identité, sélectionnez Sélectionner des identités et des groupes.
2. Cliquez sur Ajouter des identités.
3. Saisissez l'adresse e-mail de l'agent de service Attack Surface Management. L'adresse de l'agent de service est au format suivant :
```
service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
```
  Remplacez ORGANIZATION_ID par votre ID d'organisation.
4. Sélectionnez l'agent de service ou appuyez sur ENTRÉE, puis cliquez sur Ajouter des identités.
5. Pour Sources, sélectionnez Toutes les sources.
Dans la section Vers, définissez les détails suivants :
1. Pour Ressources > Projets, sélectionnez Tous les projets.
2. Pour Opérations ou rôles IAM, sélectionnez Sélectionner des opérations.
3. Cliquez sur Ajouter des opérations, puis ajoutez les opérations suivantes :
  - Ajoutez le service cloudasset.googleapis.com.
    1. Cliquez sur Tous les modes.
    2. Cliquez sur Ajouter toutes les méthodes.
  - Ajoutez le service cloudresourcemanager.googleapis.com.
    1. Cliquez sur Tous les modes.
    2. Cliquez sur Ajouter toutes les méthodes.
  - Ajoutez le service dns.googleapis.com.
    1. Cliquez sur Tous les modes.
    2. Cliquez sur Ajouter toutes les méthodes.
Cliquez sur Enregistrer.

gcloud

Si aucun projet de quota n'est déjà défini, définissez-en un. Choisissez un projet pour lequel l'API Access Context Manager est activée.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Remplacez QUOTA_PROJECT_ID par l'ID du projet que vous souhaitez utiliser pour la facturation et le quota.

Créez un fichier nommé ingress-rule.yaml avec le contenu suivant :

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

Remplacez ORGANIZATION_ID par votre ID d'organisation.

Ajoutez la règle d'entrée au périmètre :
```
gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml
```
Remplacez les éléments suivants :
- PERIMETER_NAME : nom du périmètre. Par exemple, accessPolicies/1234567890/servicePerimeters/example_perimeter.
  
  Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName :
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```

Pour en savoir plus, consultez Règles d'entrée et de sortie.

Étapes suivantes

En savoir plus sur Mandiant Attack Surface Management