Wenn Sie Compliance Manager innerhalb eines VPC Service Controls Dienstperimeters aktivieren, müssen Sie Regeln für ein- und ausgehenden Traffic konfigurieren.
Sie können die folgenden Beispielregeln für ein- und ausgehenden Traffic an Ihre geschäftlichen Anforderungen anpassen.
Informationen zu Einschränkungen finden Sie unter Unterstützte Produkte und Einschränkungen.
Hinweis
Sie benötigen die erforderlichen Rollen, um VPC Service Controls auf Organisationsebene zu konfigurieren.
Um den Zugriff auf Ressourcen in der Organisation oder in Ordnern zu gewährleisten, weisen Sie die Rolle „Compliance Manager-Administrator“ (
roles/cloudsecuritycompliance.admin) auf Organisationsebene zu.Sie müssen Folgendes wissen:
Die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).Die E-Mail-Adressen der Compliance Manager-Nutzer. Compliance Manager-Nutzer sind die Personen, die Compliance Manager verwalten und Aktivitäten wie Audits durchführen.
Prüfen Sie, ob der Cloud Security Compliance-Dienst-Agent innerhalb des Perimeters die erforderlichen Berechtigungen hat, um ein Audit durchzuführen. Weitere Informationen finden Sie unter Umgebung mit Compliance Manager prüfen.
Regeln für ein- und ausgehenden Traffic hinzufügen
Fügen Sie die folgende Regel für eingehenden Traffic hinzu:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: "*"Ersetzen Sie USER_EMAIL_ADDRESS durch die E-Mail-Adresse von dem Compliance Manager-Nutzer.
Fügen Sie die folgende Regel für eingehenden Traffic hinzu, damit Compliance Manager die Ressourcen in Ihrer Google Cloud Organisation überwachen und prüfen kann:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudsecuritycompliance.googleapis.com methodSelectors: - method: "*" resources: "*"Ersetzen Sie USER_EMAIL_ADDRESS durch die E-Mail-Adresse von dem Compliance Manager-Nutzer.
Konfigurieren Sie die folgende Regel für eingehenden Traffic, um Audits für ein Projekt auszuführen:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" resources: "*"Ersetzen Sie Folgendes:
USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents.
Konfigurieren Sie die folgende Regel für eingehenden Traffic, um Audits für einen Ordner auszuführen:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: "*" resources: "*"Ersetzen Sie Folgendes:
USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents.
Ein umfassender Zugriff ist erforderlich, um alle Ressourcen in den Projekten im Ordner prüfen zu können.
Konfigurieren Sie die folgende Regel für eingehenden Traffic, um ein Audit auszuführen, wenn sich der registrierte Cloud Storage-Bucket innerhalb des Perimeters befindet:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Ersetzen Sie Folgendes:
USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents.
Konfigurieren Sie die folgende Regel für ausgehenden Traffic, um ein Audit auszuführen, wenn sich der registrierte Cloud Storage-Bucket innerhalb des Perimeters befindet:
- egressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Ersetzen Sie Folgendes:
USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents.
Nächste Schritte
- Fehlerdiagnose mithilfe des VPC Service Controls-Troubleshooters oder des VPC Service Controls-Verstoß-Analyzers.