Si vous activez Compliance Manager dans un périmètre de service VPC Service Controls, vous devez configurer des règles d'entrée et de sortie.
Vous pouvez ajuster les exemples de règles d'entrée et de sortie suivants pour répondre aux besoins de votre entreprise.
Pour en savoir plus sur les limites, consultez la page Produits compatibles et limites.
Avant de commencer
Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.
Pour garantir l'accès aux ressources qui existent dans l'organisation ou les dossiers, accordez le rôle Administrateur Compliance Manager (
roles/cloudsecuritycompliance.admin) au niveau de l'organisation.Assurez-vous de connaître les informations suivantes :
Adresse e-mail de l'agent de service Cloud Security Compliance (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).Adresses e-mail des utilisateurs de Compliance Manager. Les utilisateurs de Compliance Manager sont les personnes qui administrent Compliance Manager et effectuent des activités telles que des audits.
Vérifiez que l'agent de service Cloud Security Compliance dispose des autorisations requises dans le périmètre pour effectuer un audit. Pour en savoir plus, consultez Auditer votre environnement avec Compliance Manager.
Ajouter des règles d'entrée et de sortie
Ajoutez la règle d'entrée suivante :
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: "*"Remplacez USER_EMAIL_ADDRESS par l'adresse e-mail de l'utilisateur de Compliance Manager.
Ajoutez la règle d'entrée suivante pour autoriser Compliance Manager à surveiller et à auditer les ressources de votre Google Cloud organisation :
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudsecuritycompliance.googleapis.com methodSelectors: - method: "*" resources: "*"Remplacez USER_EMAIL_ADDRESS par l'adresse e-mail de l'utilisateur de Compliance Manager.
Configurez la règle d'entrée suivante pour exécuter des audits pour un projet :
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" resources: "*"Remplacez les éléments suivants :
USER_EMAIL_ADDRESS : adresse e-mail de l'utilisateur de Compliance Manager.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS : adresse e-mail de l'agent de service Cloud Security Compliance.
Configurez la règle d'entrée suivante pour exécuter des audits pour un dossier :
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: "*" resources: "*"Remplacez les éléments suivants :
USER_EMAIL_ADDRESS : adresse e-mail de l'utilisateur de Compliance Manager.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS : adresse e-mail de l'agent de service Cloud Security Compliance.
Un accès étendu est requis pour autoriser l'audit de toutes les ressources des projets du dossier.
Configurez la règle d'entrée suivante pour exécuter un audit lorsque le bucket Cloud Storage enregistré se trouve dans le périmètre :
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Remplacez les éléments suivants :
USER_EMAIL_ADDRESS : adresse e-mail de l'utilisateur de Compliance Manager.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS : adresse e-mail de l'agent de service Cloud Security Compliance.
Configurez la règle de sortie suivante pour exécuter un audit lorsque le bucket Cloud Storage enregistré se trouve dans le périmètre :
- egressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Remplacez les éléments suivants :
USER_EMAIL_ADDRESS : adresse e-mail de l'utilisateur de Compliance Manager.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS : adresse e-mail de l'agent de service Cloud Security Compliance.
Étape suivante
- Diagnostiquez les problèmes à l'aide de l'outil de dépannage de VPC Service Controls ou de l' analyseur de violations de VPC Service Controls.