Se você ativar o Compliance Manager em um perímetro de serviço do VPC Service Controls, será necessário configurar regras de saída e entrada.
É possível ajustar as seguintes regras de entrada e saída de amostra para atender aos requisitos de negócios.
Para mais informações sobre limitações, consulte Produtos e limitações.
Antes de começar
Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.
Para garantir o acesso aos recursos que existem na organização ou nas pastas, conceda o papel de administrador do Compliance Manager (
roles/cloudsecuritycompliance.admin) no nível da organização.Verifique se você sabe o seguinte:
O endereço de e-mail do agente de serviço de conformidade de segurança do Cloud (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).Se você também usa o Audit Manager, o endereço de e-mail do agente de serviço do Audit Manager (
service-org-RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com), em que RESOURCE_ID é o ID da organização, da pasta ou do ID do projeto.Os endereços de e-mail dos usuários do Compliance Manager e do Audit Manager. Esses usuários administram o Compliance Manager e o Audit Manager e realizam atividades como auditorias.
Verifique se o agente de serviço de conformidade de segurança do Cloud tem as permissões necessárias no perímetro para concluir uma auditoria. Para mais informações, consulte Auditar seu ambiente com o Compliance Manager.
Adicionar regras de entrada e saída
Adicione a seguinte regra de entrada:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: "*"Substitua USER_EMAIL_ADDRESS pelo endereço de e-mail de o usuário do Compliance Manager ou do Audit Manager.
Adicione a seguinte regra de entrada para permitir que o Compliance Manager monitore e audite os recursos da sua Google Cloud organização:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudsecuritycompliance.googleapis.com methodSelectors: - method: "*" - serviceName: auditmanager.googleapis.com methodSelectors: - method: "*" resources: "*"Substitua USER_EMAIL_ADDRESS pelo endereço de e-mail de o usuário do Compliance Manager ou do Audit Manager.
Configure a seguinte regra de entrada para executar auditorias de um projeto:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" resources: "*"Substitua:
USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.
COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:o endereço de e-mail do agente de serviço de conformidade de segurança do Cloud ou do agente de serviço do Audit Manager. Se o Audit Manager estiver ativado, use o agente de serviço do Audit Manager.
Configure a seguinte regra de entrada para executar auditorias de uma pasta:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: "*" resources: "*"Substitua:
USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.
COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:o endereço de e-mail do agente de serviço de conformidade de segurança do Cloud ou do agente de serviço do Audit Manager. Se o Audit Manager estiver ativado, use o agente de serviço do Audit Manager.
O acesso amplo é necessário para permitir a auditoria de todos os recursos nos projetos da pasta.
Configure a seguinte regra de entrada para executar uma auditoria quando o bucket do Cloud Storage registrado estiver dentro do perímetro:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Substitua:
USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.
COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:o endereço de e-mail do agente de serviço de conformidade de segurança do Cloud ou do agente de serviço do Audit Manager. Se o Audit Manager estiver ativado, use o agente de serviço do Audit Manager.
Configure a seguinte regra de saída para executar uma auditoria quando o bucket do Cloud Storage registrado estiver dentro do perímetro:
- egressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Substitua:
USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.
COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:o endereço de e-mail do agente de serviço de conformidade de segurança do Cloud ou do agente de serviço do Audit Manager. Se o Audit Manager estiver ativado, use o agente de serviço do Audit Manager.
A seguir
- Diagnosticar problemas usando o solucionador de problemas do VPC Service Controls ou o analisador de violações do VPC Service Controls.