Si habilitas Gestor de Cumplimiento en un perímetro de servicio de Controles de Servicio de VPC, debes configurar reglas de salida y de entrada.
Puedes ajustar las siguientes reglas de entrada y salida de ejemplo para adaptarlas a las necesidades de tu empresa.
Para obtener información sobre las limitaciones, consulta el artículo Productos admitidos y limitaciones.
Antes de empezar
Asegúrate de tener los roles necesarios para configurar Controles de Servicio de VPC a nivel de organización.
Para asegurar el acceso a los recursos que hay en la organización o en las carpetas, asigna el rol de administrador de Gestor de Cumplimiento (
roles/cloudsecuritycompliance.admin) a nivel de organización.Asegúrate de que sabes lo siguiente:
La dirección de correo del agente del servicio de cumplimiento de Cloud Security (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).Las direcciones de correo de los usuarios de Gestor de Cumplimiento. Los usuarios de Gestor de Cumplimiento son las personas que administran Gestor de Cumplimiento y realizan actividades como auditorías.
Verifica que el agente de servicio de cumplimiento de seguridad en la nube tenga los permisos necesarios en el perímetro para completar una auditoría. Para obtener más información, consulta Auditar tu entorno con Gestor de Cumplimiento.
Añadir reglas de entrada y salida
Añade la siguiente regla de entrada:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: "*"Sustituye USER_EMAIL_ADDRESS por la dirección de correo del usuario de Gestor de Cumplimiento.
Añade la siguiente regla de entrada para permitir que Gestor de Cumplimiento monitorice y audite los recursos de tu organización: Google Cloud
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudsecuritycompliance.googleapis.com methodSelectors: - method: "*" resources: "*"Sustituye USER_EMAIL_ADDRESS por la dirección de correo del usuario de Gestor de Cumplimiento.
Configura la siguiente regla de entrada para auditar un proyecto:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" resources: "*"Haz los cambios siguientes:
USER_EMAIL_ADDRESS: la dirección de correo del usuario de Gestor de Cumplimiento.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: la dirección de correo del agente de servicio de cumplimiento de seguridad de Cloud.
Configura la siguiente regla de entrada para auditar una carpeta:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: "*" resources: "*"Haz los cambios siguientes:
USER_EMAIL_ADDRESS: la dirección de correo del usuario de Gestor de Cumplimiento.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: la dirección de correo del agente de servicio de cumplimiento de seguridad de Cloud.
Se requiere un acceso amplio para permitir la auditoría de todos los recursos de los proyectos de la carpeta.
Configura la siguiente regla de entrada para ejecutar una auditoría cuando el bucket de Cloud Storage registrado esté dentro del perímetro:
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Haz los cambios siguientes:
USER_EMAIL_ADDRESS: la dirección de correo del usuario de Gestor de Cumplimiento.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: la dirección de correo del agente de servicio de cumplimiento de seguridad de Cloud.
Configura la siguiente regla de salida para ejecutar una auditoría cuando el segmento de Cloud Storage registrado esté dentro del perímetro:
- egressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Haz los cambios siguientes:
USER_EMAIL_ADDRESS: la dirección de correo del usuario de Gestor de Cumplimiento.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: la dirección de correo del agente de servicio de cumplimiento de seguridad de Cloud.
Siguientes pasos
- Diagnostica los problemas con la herramienta para solucionar problemas de Controles de Servicio de VPC o con el analizador de infracciones de Controles de Servicio de VPC.