Se abiliti Compliance Manager all'interno di un perimetro di servizio Controlli di servizio VPC, devi configurare le regole in entrata e in uscita.
Puoi modificare le seguenti regole in entrata e in uscita di esempio in base alle tue esigenze aziendali.
Per informazioni sulle limitazioni, vedi Prodotti supportati e limitazioni.
Prima di iniziare
Assicurati di disporre dei ruoli necessari per configurare Controlli di servizio VPC a livello di organizzazione.
Per garantire l'accesso alle risorse esistenti nell'organizzazione o nelle cartelle, concedi il ruolo Amministratore di Compliance Manager (
roles/cloudsecuritycompliance.admin) a livello di organizzazione.Assicurati di conoscere quanto segue:
L'indirizzo email del service agent Cloud Security Compliance (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).Se utilizzi anche Audit Manager, l'indirizzo email del service agent Audit Manager (
service-org-RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com), dove RESOURCE_ID è l'ID organizzazione, l'ID cartella o l'ID progetto.Gli indirizzi email degli utenti di Compliance Manager e Audit Manager. Questi utenti amministrano Compliance Manager e Audit Manager ed eseguono attività come gli audit.
Verifica che il service agent Cloud Security Compliance disponga delle autorizzazioni necessarie all'interno del perimetro per completare un audit. Per saperne di più, consulta Eseguire l'audit dell'ambiente con Compliance Manager.
Aggiungere regole in entrata e in uscita
Aggiungi la seguente regola in entrata:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: "*"Sostituisci USER_EMAIL_ADDRESS con l'indirizzo email dell'utente di Compliance Manager o Audit Manager.
Aggiungi la seguente regola in entrata per consentire a Compliance Manager di monitorare ed eseguire l'audit delle risorse nella tua Google Cloud organizzazione:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudsecuritycompliance.googleapis.com methodSelectors: - method: "*" - serviceName: auditmanager.googleapis.com methodSelectors: - method: "*" resources: "*"Sostituisci USER_EMAIL_ADDRESS con l'indirizzo email dell'utente di Compliance Manager o Audit Manager.
Configura la seguente regola in entrata per eseguire gli audit per un progetto:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" resources: "*"Sostituisci quanto segue:
USER_EMAIL_ADDRESS: l'indirizzo email dell' utente di Compliance Manager.
COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:l'indirizzo email del service agent Cloud Security Compliance o del service agent Audit Manager. Se Audit Manager è abilitato, utilizza il service agent Audit Manager.
Configura la seguente regola in entrata per eseguire gli audit per una cartella:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: "*" resources: "*"Sostituisci quanto segue:
USER_EMAIL_ADDRESS: l'indirizzo email dell' utente di Compliance Manager.
COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:l'indirizzo email del service agent Cloud Security Compliance o del service agent Audit Manager. Se Audit Manager è abilitato, utilizza il service agent Audit Manager.
È necessario un accesso ampio per consentire l'audit di tutte le risorse nei progetti all'interno della cartella.
Configura la seguente regola in entrata per eseguire un audit quando il bucket Cloud Storage registrato si trova all'interno del perimetro:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Sostituisci quanto segue:
USER_EMAIL_ADDRESS: l'indirizzo email dell' utente di Compliance Manager.
COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:l'indirizzo email del service agent Cloud Security Compliance o del service agent Audit Manager. Se Audit Manager è abilitato, utilizza il service agent Audit Manager.
Configura la seguente regola in uscita per eseguire un audit quando il bucket Cloud Storage registrato si trova all'interno del perimetro:
- egressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Sostituisci quanto segue:
USER_EMAIL_ADDRESS: l'indirizzo email dell' utente di Compliance Manager.
COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:l'indirizzo email del service agent Cloud Security Compliance o del service agent Audit Manager. Se Audit Manager è abilitato, utilizza il service agent Audit Manager.
Passaggi successivi
- Diagnostica i problemi utilizzando lo strumento per la risoluzione dei problemi relativi a Controlli di servizio VPC o l' analizzatore delle violazioni di Controlli di servizio VPC.