Usar o Compliance Manager com o VPC Service Controls

Se você ativar o Compliance Manager em um perímetro de serviço do VPC Service Controls, será necessário configurar regras de saída e entrada.

É possível ajustar as seguintes regras de entrada e saída de amostra para atender aos requisitos de negócios.

Para mais informações sobre limitações, consulte Produtos e limitações.

Antes de começar

  1. Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.

  2. Para garantir o acesso aos recursos que existem na organização ou nas pastas, conceda o papel de administrador do Compliance Manager (roles/cloudsecuritycompliance.admin) no nível da organização.

  3. Verifique se você sabe o seguinte:

    • O endereço de e-mail do agente de serviço de conformidade de segurança do Cloud (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

    • Se você também usa o Audit Manager, o endereço de e-mail do agente de serviço do Audit Manager (service-org-RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com), em que RESOURCE_ID é o ID da organização, da pasta ou do ID do projeto.

    • Os endereços de e-mail dos usuários do Compliance Manager e do Audit Manager. Esses usuários administram o Compliance Manager e o Audit Manager e realizam atividades como auditorias.

  4. Verifique se o agente de serviço de conformidade de segurança do Cloud tem as permissões necessárias no perímetro para concluir uma auditoria. Para mais informações, consulte Auditar seu ambiente com o Compliance Manager.

Adicionar regras de entrada e saída

  1. Adicione a seguinte regra de entrada:

    - ingressFrom:
      identities:
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: securitycenter.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Substitua USER_EMAIL_ADDRESS pelo endereço de e-mail de o usuário do Compliance Manager ou do Audit Manager.

  2. Adicione a seguinte regra de entrada para permitir que o Compliance Manager monitore e audite os recursos da sua Google Cloud organização:

    - ingressFrom:
      identities:
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: cloudsecuritycompliance.googleapis.com
            methodSelectors:
              - method: "*"
          - serviceName: auditmanager.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Substitua USER_EMAIL_ADDRESS pelo endereço de e-mail de o usuário do Compliance Manager ou do Audit Manager.

  3. Configure a seguinte regra de entrada para executar auditorias de um projeto:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: cloudasset.googleapis.com
            methodSelectors:
              - method: "*"
        resources: "*"
    

    Substitua:

    • USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:o endereço de e-mail do agente de serviço de conformidade de segurança do Cloud ou do agente de serviço do Audit Manager. Se o Audit Manager estiver ativado, use o agente de serviço do Audit Manager.

  4. Configure a seguinte regra de entrada para executar auditorias de uma pasta:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
            - serviceName: "*"
        resources: "*"
    

    Substitua:

    • USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:o endereço de e-mail do agente de serviço de conformidade de segurança do Cloud ou do agente de serviço do Audit Manager. Se o Audit Manager estiver ativado, use o agente de serviço do Audit Manager.

    O acesso amplo é necessário para permitir a auditoria de todos os recursos nos projetos da pasta.

  5. Configure a seguinte regra de entrada para executar uma auditoria quando o bucket do Cloud Storage registrado estiver dentro do perímetro:

    - ingressFrom:
      identities:
      - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
      - user: USER_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations:
            - serviceName: storage.googleapis.com
              methodSelectors:
                - method: google.storage.buckets.getIamPolicy
                - method: google.storage.buckets.testIamPermissions
                - method: google.storage.objects.getIamPolicy
                - method: google.storage.buckets.setIamPolicy
                - method: google.storage.objects.setIamPolicy
                - method: google.storage.objects.create
                - method: google.storage.objects.get
      resources: "*"
    

    Substitua:

    • USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:o endereço de e-mail do agente de serviço de conformidade de segurança do Cloud ou do agente de serviço do Audit Manager. Se o Audit Manager estiver ativado, use o agente de serviço do Audit Manager.

  6. Configure a seguinte regra de saída para executar uma auditoria quando o bucket do Cloud Storage registrado estiver dentro do perímetro:

    - egressFrom:
      identities:
        - serviceAccount: COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT
        - user: USER_EMAIL_ADDRESS
        sources:
          - accessLevel: "*"
      egressTo:
        operations:
            - serviceName: storage.googleapis.com
              methodSelectors:
                - method: google.storage.buckets.getIamPolicy
                - method: google.storage.buckets.testIamPermissions
                - method: google.storage.objects.getIamPolicy
                - method: google.storage.buckets.setIamPolicy
                - method: google.storage.objects.setIamPolicy
                - method: google.storage.objects.create
                - method: google.storage.objects.get
        resources: "*"
    

    Substitua:

    • USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.

    • COMPLIANCE_MANAGER_SERVICE_ACCOUNT_OR_AUDIT_MANAGER_SERVICE_ACCOUNT:o endereço de e-mail do agente de serviço de conformidade de segurança do Cloud ou do agente de serviço do Audit Manager. Se o Audit Manager estiver ativado, use o agente de serviço do Audit Manager.

A seguir