Compliance Manager mit VPC Service Controls verwenden

Wenn Sie Compliance Manager innerhalb eines VPC Service Controls Dienstperimeters aktivieren, müssen Sie Regeln für ein- und ausgehenden Traffic konfigurieren.

Sie können die folgenden Regeln für ein- und ausgehenden Traffic an Ihre geschäftlichen Anforderungen anpassen.

Informationen zu Einschränkungen finden Sie unter Unterstützte Produkte und Einschränkungen.

Hinweis

  1. Sie benötigen die erforderlichen Rollen, um VPC Service Controls auf Organisationsebene zu konfigurieren.

  2. Um den Zugriff auf Ressourcen in der Organisation oder in Ordnern zu ermöglichen, gewähren Sie die Rolle „Compliance Manager-Administrator“ (roles/cloudsecuritycompliance.admin) auf Organisationsebene.

  3. Sie müssen Folgendes wissen:

    • Die E-Mail-Adresse des Dienst-Agents für Cloud Security Compliance (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

    • Wenn Sie auch Audit Manager verwenden, die E-Mail-Adresse des Audit Manager-Dienst-Agents (service-org-RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com), wobei RESOURCE_ID Ihre Organisations-ID, Ordner-ID oder Projekt-ID ist.

    • Die E-Mail-Adressen der Compliance Manager- und Audit Manager-Nutzer. Diese Nutzer verwalten Compliance Manager und Audit Manager und führen Aktivitäten wie Audits durch.

  4. Prüfen Sie, ob der Dienst-Agent für Cloud Security Compliance die erforderlichen Berechtigungen innerhalb des Perimeters hat, um ein Audit durchzuführen. Weitere Informationen finden Sie unter Umgebung mit Compliance Manager prüfen.

Regeln für ein- und ausgehenden Traffic hinzufügen

  1. Fügen Sie die folgende Regel für eingehenden Traffic hinzu:

    - ingressFrom:
      identities:
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: securitycenter.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Ersetzen Sie USER_EMAIL_ADDRESS durch die E-Mail-Adresse des Compliance Manager- oder Audit Manager-Nutzers.

  2. Fügen Sie die folgende Regel für eingehenden Traffic hinzu, damit Compliance Manager die Ressourcen in Ihrer Google Cloud Organisation überwachen und prüfen kann:

    - ingressFrom:
      identities:
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: cloudsecuritycompliance.googleapis.com
            methodSelectors:
              - method: "*"
          - serviceName: auditmanager.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Ersetzen Sie USER_EMAIL_ADDRESS durch die E-Mail-Adresse des Compliance Manager- oder Audit Manager-Nutzers.

  3. Konfigurieren Sie die folgende Regel für eingehenden Traffic, um Audits für ein Projekt auszuführen:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: cloudasset.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Ersetzen Sie Folgendes:

    • USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT: die E-Mail-Adresse des Dienst-Agents für Cloud Security Compliance oder des Audit Manager-Dienst-Agents. Wenn Audit Manager aktiviert ist, verwenden Sie den Audit Manager-Dienst-Agent.

  4. Konfigurieren Sie die folgende Regel für eingehenden Traffic, um Audits für einen Ordner auszuführen:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
            - serviceName: "*"
        resources: "*"
    

    Ersetzen Sie Folgendes:

    • USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT: die E-Mail-Adresse des Dienst-Agents für Cloud Security Compliance oder des Audit Manager-Dienst-Agents. Wenn Audit Manager aktiviert ist, verwenden Sie den Audit Manager-Dienst-Agent.

    Ein umfassender Zugriff ist erforderlich, um Audits aller Ressourcen in den Projekten im Ordner zu ermöglichen.

  5. Konfigurieren Sie die folgende Regel für eingehenden Traffic, um ein Audit auszuführen, wenn sich der registrierte Cloud Storage-Bucket innerhalb des Perimeters befindet:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
            - serviceName: storage.googleapis.com
              methodSelectors:
                - method: google.storage.buckets.getIamPolicy
                - method: google.storage.buckets.testIamPermissions
                - method: google.storage.objects.getIamPolicy
                - method: google.storage.buckets.setIamPolicy
                - method: google.storage.objects.setIamPolicy
                - method: google.storage.objects.create
                - method: google.storage.objects.get
      resources: "*"
    

    Ersetzen Sie Folgendes:

    • USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT: die E-Mail-Adresse des Dienst-Agents für Cloud Security Compliance oder des Audit Manager-Dienst-Agents. Wenn Audit Manager aktiviert ist, verwenden Sie den Audit Manager-Dienst-Agent.

  6. Konfigurieren Sie die folgende Regel für ausgehenden Traffic, um ein Audit auszuführen, wenn sich der registrierte Cloud Storage-Bucket innerhalb des Perimeters befindet:

    - egressFrom:
      identities:
        - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
        - user: USER_EMAIL_ADDRESS
        sources:
          - accessLevel: "*"
      egressTo:
        operations:
            - serviceName: storage.googleapis.com
              methodSelectors:
                - method: google.storage.buckets.getIamPolicy
                - method: google.storage.buckets.testIamPermissions
                - method: google.storage.objects.getIamPolicy
                - method: google.storage.buckets.setIamPolicy
                - method: google.storage.objects.setIamPolicy
                - method: google.storage.objects.create
                - method: google.storage.objects.get
        resources: "*"
    

    Ersetzen Sie Folgendes:

    • USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT: die E-Mail-Adresse des Dienst-Agents für Cloud Security Compliance oder des Audit Manager-Dienst-Agents. Wenn Audit Manager aktiviert ist, verwenden Sie den Audit Manager-Dienst-Agent.

Nächste Schritte