Menggunakan Compliance Manager dengan Kontrol Layanan VPC

Jika Anda mengaktifkan Compliance Manager dalam perimeter layanan Kontrol Layanan VPC, Anda harus mengonfigurasi aturan egress dan ingress.

Anda dapat menyesuaikan contoh aturan ingress dan egress berikut untuk memenuhi persyaratan bisnis Anda.

Untuk mengetahui informasi tentang batasan, lihat Produk yang didukung dan batasan.

Sebelum memulai

  1. Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.

  2. Untuk memastikan akses ke resource yang ada di organisasi atau folder, berikan peran Admin Compliance Manager (roles/cloudsecuritycompliance.admin) di tingkat organisasi.

  3. Pastikan Anda mengetahui hal berikut:

    • Alamat email untuk agen layanan Cloud Security Compliance (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

    • Jika Anda juga menggunakan Audit Manager, alamat email untuk agen layanan Audit Manager (service-org-RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com), dengan RESOURCE_ID adalah ID organisasi, ID folder, atau project ID Anda.

    • Alamat email pengguna Compliance Manager dan Audit Manager. Pengguna ini mengelola Compliance Manager dan Audit Manager serta melakukan aktivitas seperti audit.

  4. Pastikan agen layanan Kepatuhan Keamanan Cloud memiliki izin yang diperlukan dalam perimeter untuk menyelesaikan audit. Untuk mengetahui informasi selengkapnya, lihat Mengaudit lingkungan Anda dengan Compliance Manager.

Menambahkan aturan ingress dan egress

  1. Tambahkan aturan ingress berikut:

    - ingressFrom:
      identities:
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: securitycenter.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Ganti USER_EMAIL_ADDRESS dengan alamat email pengguna Compliance Manager atau Audit Manager.

  2. Tambahkan aturan masuk berikut untuk mengizinkan Compliance Manager memantau dan mengaudit resource di organisasi Google Cloud Anda:

    - ingressFrom:
      identities:
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: cloudsecuritycompliance.googleapis.com
            methodSelectors:
              - method: "*"
          - serviceName: auditmanager.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Ganti USER_EMAIL_ADDRESS dengan alamat email pengguna Compliance Manager atau Audit Manager.

  3. Konfigurasi aturan ingress berikut untuk menjalankan audit project:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: cloudasset.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Ganti kode berikut:

    • USER_EMAIL_ADDRESS: alamat email pengguna Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT: alamat email agen layanan Cloud Security Compliance atau agen layanan Audit Manager. Jika Audit Manager diaktifkan, gunakan agen layanan Audit Manager.

  4. Konfigurasi aturan ingress berikut untuk menjalankan audit folder:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
            - serviceName: "*"
        resources: "*"
    

    Ganti kode berikut:

    • USER_EMAIL_ADDRESS: alamat email pengguna Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT: alamat email agen layanan Cloud Security Compliance atau agen layanan Audit Manager. Jika Audit Manager diaktifkan, gunakan agen layanan Audit Manager.

    Akses luas diperlukan untuk mengizinkan audit semua resource dalam project di dalam folder.

  5. Konfigurasi aturan ingress berikut untuk menjalankan audit saat bucket Cloud Storage yang didaftarkan berada di dalam perimeter:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
            - serviceName: storage.googleapis.com
              methodSelectors:
                - method: google.storage.buckets.getIamPolicy
                - method: google.storage.buckets.testIamPermissions
                - method: google.storage.objects.getIamPolicy
                - method: google.storage.buckets.setIamPolicy
                - method: google.storage.objects.setIamPolicy
                - method: google.storage.objects.create
                - method: google.storage.objects.get
      resources: "*"
    

    Ganti kode berikut:

    • USER_EMAIL_ADDRESS: alamat email pengguna Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT: alamat email agen layanan Cloud Security Compliance atau agen layanan Audit Manager. Jika Audit Manager diaktifkan, gunakan agen layanan Audit Manager.

  6. Konfigurasi aturan egress berikut untuk menjalankan audit saat bucket Cloud Storage yang terdaftar berada di dalam perimeter:

    - egressFrom:
      identities:
        - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
        - user: USER_EMAIL_ADDRESS
        sources:
          - accessLevel: "*"
      egressTo:
        operations:
            - serviceName: storage.googleapis.com
              methodSelectors:
                - method: google.storage.buckets.getIamPolicy
                - method: google.storage.buckets.testIamPermissions
                - method: google.storage.objects.getIamPolicy
                - method: google.storage.buckets.setIamPolicy
                - method: google.storage.objects.setIamPolicy
                - method: google.storage.objects.create
                - method: google.storage.objects.get
        resources: "*"
    

    Ganti kode berikut:

    • USER_EMAIL_ADDRESS: alamat email pengguna Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT: alamat email agen layanan Cloud Security Compliance atau agen layanan Audit Manager. Jika Audit Manager diaktifkan, gunakan agen layanan Audit Manager.

Langkah berikutnya