Utiliser le Gestionnaire de conformité avec VPC Service Controls

Si vous activez Compliance Manager dans un périmètre de service VPC Service Controls, vous devez configurer des règles d'entrée et de sortie.

Vous pouvez ajuster les exemples de règles d'entrée et de sortie suivants pour répondre à vos besoins commerciaux.

Pour en savoir plus sur les limites, consultez Produits compatibles et limites.

Avant de commencer

  1. Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.

  2. Pour garantir l'accès aux ressources existant dans l'organisation ou les dossiers, accordez le rôle Administrateur Compliance Manager (roles/cloudsecuritycompliance.admin) au niveau de l'organisation.

  3. Assurez-vous de connaître les points suivants :

    • Adresse e-mail de l'agent de service de sécurité et de conformité du cloud (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

    • Adresses e-mail des utilisateurs du Gestionnaire de conformité. Les utilisateurs du Gestionnaire de conformité sont ceux qui administrent le Gestionnaire de conformité et effectuent des activités telles que des audits.

  4. Vérifiez que l'agent de service de conformité de la sécurité du cloud dispose des autorisations requises dans le périmètre pour effectuer un audit. Pour en savoir plus, consultez Auditer votre environnement avec le Gestionnaire de conformité.

Ajouter des règles d'entrée et de sortie

  1. Ajoutez la règle d'entrée suivante :

    - ingressFrom:
  identities:
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
      - serviceName: securitycenter.googleapis.com
        methodSelectors:
          - method: "*"
    resources: "*"

    Remplacez USER_EMAIL_ADDRESS par l'adresse e-mail de l'utilisateur Compliance Manager.

  2. Ajoutez la règle d'entrée suivante pour permettre au Gestionnaire de conformité de surveiller et d'auditer les ressources de votre organisation Google Cloud  :

    - ingressFrom:
  identities:
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
      - serviceName: cloudsecuritycompliance.googleapis.com
        methodSelectors:
          - method: "*"
    resources: "*"

    Remplacez USER_EMAIL_ADDRESS par l'adresse e-mail de l'utilisateur Compliance Manager.

  3. Configurez la règle d'entrée suivante pour exécuter des audits pour un projet :

    - ingressFrom:
  identities:
  - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
      - serviceName: cloudasset.googleapis.com
        methodSelectors:
          - method: "*"
    resources: "*"

    Remplacez les éléments suivants :

    • USER_EMAIL_ADDRESS : adresse e-mail de l'utilisateur Compliance Manager.

    • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS : adresse e-mail de l'agent de service de sécurité et de conformité du cloud.

  4. Configurez la règle d'entrée suivante pour exécuter des audits pour un dossier :

    - ingressFrom:
  identities:
  - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: "*"
    resources: "*"

    Remplacez les éléments suivants :

    • USER_EMAIL_ADDRESS : adresse e-mail de l'utilisateur Compliance Manager.

    • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS : adresse e-mail de l'agent de service de sécurité et de conformité du cloud.

    Un accès étendu est nécessaire pour permettre l'audit de toutes les ressources des projets du dossier.

  5. Configurez la règle d'entrée suivante pour exécuter un audit lorsque le bucket Cloud Storage enregistré se trouve à l'intérieur du périmètre :

    - ingressFrom:
  identities:
  - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
  - user: USER_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
  resources: "*"

    Remplacez les éléments suivants :

    • USER_EMAIL_ADDRESS : adresse e-mail de l'utilisateur Compliance Manager.

    • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS : adresse e-mail de l'agent de service de sécurité et de conformité du cloud.

  6. Configurez la règle de sortie suivante pour exécuter un audit lorsque le bucket Cloud Storage enregistré se trouve à l'intérieur du périmètre :

    - egressFrom:
  identities:
    - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
      - user: USER_EMAIL_ADDRESS
    sources:
      - accessLevel: "*"
  egressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
    resources: "*"

    Remplacez les éléments suivants :

    • USER_EMAIL_ADDRESS : adresse e-mail de l'utilisateur Compliance Manager.

    • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS : adresse e-mail de l'agent de service de sécurité et de conformité du cloud.

Étapes suivantes