Utilizzare Compliance Manager con i Controlli di servizio VPC

Se abiliti Compliance Manager all'interno di un perimetro di servizio Controlli di servizio VPC, devi configurare le regole in entrata e in uscita.

Puoi modificare le seguenti regole in entrata e in uscita di esempio in base alle tue esigenze aziendali.

Per informazioni sulle limitazioni, vedi Prodotti supportati e limitazioni.

Prima di iniziare

  1. Assicurati di disporre dei ruoli necessari per configurare Controlli di servizio VPC a livello di organizzazione.

  2. Per garantire l'accesso alle risorse esistenti nell'organizzazione o nelle cartelle, concedi il ruolo Amministratore di Compliance Manager (roles/cloudsecuritycompliance.admin) a livello di organizzazione.

  3. Assicurati di conoscere quanto segue:

    • L'indirizzo email del service agent Cloud Security Compliance (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

    • Se utilizzi anche Audit Manager, l'indirizzo email del service agent Audit Manager (service-org-RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com), dove RESOURCE_ID è l'ID organizzazione, l'ID cartella o l'ID progetto.

    • Gli indirizzi email degli utenti di Compliance Manager e Audit Manager. Questi utenti amministrano Compliance Manager e Audit Manager ed eseguono attività come gli audit.

  4. Verifica che il service agent Cloud Security Compliance disponga delle autorizzazioni necessarie all'interno del perimetro per completare un audit. Per saperne di più, consulta Eseguire l'audit dell'ambiente con Compliance Manager.

Aggiungere regole in entrata e in uscita

  1. Aggiungi la seguente regola in entrata:

    - ingressFrom:
      identities:
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: securitycenter.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Sostituisci USER_EMAIL_ADDRESS con l'indirizzo email dell'utente di Compliance Manager o Audit Manager.

  2. Aggiungi la seguente regola in entrata per consentire a Compliance Manager di monitorare ed eseguire l'audit delle risorse nella tua Google Cloud organizzazione:

    - ingressFrom:
      identities:
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: cloudsecuritycompliance.googleapis.com
            methodSelectors:
              - method: "*"
          - serviceName: auditmanager.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Sostituisci USER_EMAIL_ADDRESS con l'indirizzo email dell'utente di Compliance Manager o Audit Manager.

  3. Configura la seguente regola in entrata per eseguire gli audit per un progetto:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: cloudasset.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Sostituisci quanto segue:

    • USER_EMAIL_ADDRESS: l'indirizzo email dell' utente di Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:l'indirizzo email del service agent Cloud Security Compliance o del service agent Audit Manager. Se Audit Manager è abilitato, utilizza il service agent Audit Manager.

  4. Configura la seguente regola in entrata per eseguire gli audit per una cartella:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
            - serviceName: "*"
        resources: "*"
    

    Sostituisci quanto segue:

    • USER_EMAIL_ADDRESS: l'indirizzo email dell' utente di Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:l'indirizzo email del service agent Cloud Security Compliance o del service agent Audit Manager. Se Audit Manager è abilitato, utilizza il service agent Audit Manager.

    È necessario un accesso ampio per consentire l'audit di tutte le risorse nei progetti all'interno della cartella.

  5. Configura la seguente regola in entrata per eseguire un audit quando il bucket Cloud Storage registrato si trova all'interno del perimetro:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
            - serviceName: storage.googleapis.com
              methodSelectors:
                - method: google.storage.buckets.getIamPolicy
                - method: google.storage.buckets.testIamPermissions
                - method: google.storage.objects.getIamPolicy
                - method: google.storage.buckets.setIamPolicy
                - method: google.storage.objects.setIamPolicy
                - method: google.storage.objects.create
                - method: google.storage.objects.get
      resources: "*"
    

    Sostituisci quanto segue:

    • USER_EMAIL_ADDRESS: l'indirizzo email dell' utente di Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:l'indirizzo email del service agent Cloud Security Compliance o del service agent Audit Manager. Se Audit Manager è abilitato, utilizza il service agent Audit Manager.

  6. Configura la seguente regola in uscita per eseguire un audit quando il bucket Cloud Storage registrato si trova all'interno del perimetro:

    - egressFrom:
      identities:
        - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
        - user: USER_EMAIL_ADDRESS
        sources:
          - accessLevel: "*"
      egressTo:
        operations:
            - serviceName: storage.googleapis.com
              methodSelectors:
                - method: google.storage.buckets.getIamPolicy
                - method: google.storage.buckets.testIamPermissions
                - method: google.storage.objects.getIamPolicy
                - method: google.storage.buckets.setIamPolicy
                - method: google.storage.objects.setIamPolicy
                - method: google.storage.objects.create
                - method: google.storage.objects.get
        resources: "*"
    

    Sostituisci quanto segue:

    • USER_EMAIL_ADDRESS: l'indirizzo email dell' utente di Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:l'indirizzo email del service agent Cloud Security Compliance o del service agent Audit Manager. Se Audit Manager è abilitato, utilizza il service agent Audit Manager.

Passaggi successivi