Usa el Administrador de cumplimiento con los Controles del servicio de VPC

Si habilitas Compliance Manager dentro de un perímetro de servicio de los Controles del servicio de VPC, debes configurar reglas de entrada y salida.

Puedes ajustar las siguientes reglas de entrada y salida de ejemplo para satisfacer los requisitos de tu empresa.

Para obtener información sobre las limitaciones, consulta Productos admitidos y limitaciones.

Antes de comenzar

  1. Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.

  2. Para garantizar el acceso a los recursos que existen en la organización o las carpetas, otorga el rol de administrador de Compliance Manager (roles/cloudsecuritycompliance.admin) a nivel de la organización.

  3. Asegúrate de saber lo siguiente:

    • Dirección de correo electrónico del agente de servicio de cumplimiento de la seguridad en la nube (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com)

    • Son las direcciones de correo electrónico de los usuarios del Administrador de cumplimiento. Los usuarios del Administrador de cumplimiento son las personas que administran el Administrador de cumplimiento y realizan actividades como auditorías.

  4. Verifica que el agente de servicio de Cloud Security Compliance tenga los permisos necesarios dentro del perímetro para completar una auditoría. Para obtener más información, consulta Audita tu entorno con el Administrador de cumplimiento.

Agrega reglas de entrada y salida

  1. Agrega la siguiente regla de entrada:

    - ingressFrom:
  identities:
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
      - serviceName: securitycenter.googleapis.com
        methodSelectors:
          - method: "*"
    resources: "*"

    Reemplaza USER_EMAIL_ADDRESS por la dirección de correo electrónico del usuario del Administrador de cumplimiento.

  2. Agrega la siguiente regla de entrada para permitir que el Administrador de cumplimiento supervise y audite los recursos de tu organización Google Cloud :

    - ingressFrom:
  identities:
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
      - serviceName: cloudsecuritycompliance.googleapis.com
        methodSelectors:
          - method: "*"
    resources: "*"

    Reemplaza USER_EMAIL_ADDRESS por la dirección de correo electrónico del usuario del Administrador de cumplimiento.

  3. Configura la siguiente regla de entrada para ejecutar auditorías de un proyecto:

    - ingressFrom:
  identities:
  - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
      - serviceName: cloudasset.googleapis.com
        methodSelectors:
          - method: "*"
    resources: "*"

    Reemplaza lo siguiente:

    • USER_EMAIL_ADDRESS: Es la dirección de correo electrónico del usuario del Administrador de cumplimiento.

    • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Es la dirección de correo electrónico del agente de servicio de Cloud Security Compliance.

  4. Configura la siguiente regla de entrada para ejecutar auditorías en una carpeta:

    - ingressFrom:
  identities:
  - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: "*"
    resources: "*"

    Reemplaza lo siguiente:

    • USER_EMAIL_ADDRESS: Es la dirección de correo electrónico del usuario del Administrador de cumplimiento.

    • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Es la dirección de correo electrónico del agente de servicio de Cloud Security Compliance.

    Se requiere acceso amplio para permitir la auditoría de todos los recursos de los proyectos dentro de la carpeta.

  5. Configura la siguiente regla de entrada para ejecutar una auditoría cuando el bucket de Cloud Storage inscrito esté dentro del perímetro:

    - ingressFrom:
  identities:
  - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
  resources: "*"

    Reemplaza lo siguiente:

    • USER_EMAIL_ADDRESS: Es la dirección de correo electrónico del usuario del Administrador de cumplimiento.

    • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Es la dirección de correo electrónico del agente de servicio de Cloud Security Compliance.

  6. Configura la siguiente regla de salida para ejecutar una auditoría cuando el bucket de Cloud Storage inscrito esté dentro del perímetro:

    - egressFrom:
  identities:
    - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
      - user: USER_EMAIL_ADDRESS
    sources:
      - accessLevel: "*"
  egressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
    resources: "*"

    Reemplaza lo siguiente:

    • USER_EMAIL_ADDRESS: Es la dirección de correo electrónico del usuario del Administrador de cumplimiento.

    • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Es la dirección de correo electrónico del agente de servicio de Cloud Security Compliance.

¿Qué sigue?