Menggunakan Compliance Manager dengan Kontrol Layanan VPC

Jika Anda mengaktifkan Compliance Manager dalam perimeter layanan Kontrol Layanan VPC, Anda harus mengonfigurasi aturan ingress dan egress.

Anda dapat menyesuaikan contoh aturan ingress dan egress berikut untuk memenuhi persyaratan bisnis Anda.

Untuk mengetahui informasi tentang batasan, lihat Produk yang didukung dan batasan.

Sebelum memulai

1. Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.

2. Untuk memastikan akses ke resource yang ada di organisasi atau folder, berikan peran Admin Pengelola Kepatuhan (roles/cloudsecuritycompliance.admin) di tingkat organisasi.

3. Pastikan Anda mengetahui hal berikut:

   • Alamat email untuk agen layanan Cloud Security Compliance (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

   • Alamat email pengguna Compliance Manager. Pengguna Pengelola Kepatuhan adalah orang yang mengelola Pengelola Kepatuhan dan melakukan aktivitas seperti audit.

4. Pastikan agen layanan Kepatuhan Keamanan Cloud memiliki izin yang diperlukan dalam perimeter untuk menyelesaikan audit. Untuk mengetahui informasi selengkapnya, lihat Mengaudit lingkungan Anda dengan Compliance Manager.

Menambahkan aturan ingress dan egress

1. Tambahkan aturan ingress berikut:

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: securitycenter.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Ganti USER_EMAIL_ADDRESS dengan alamat email pengguna Pengelola Kepatuhan.

2. Tambahkan aturan ingress berikut untuk mengizinkan Compliance Manager memantau dan mengaudit resource di organisasi Google Cloud Anda:

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudsecuritycompliance.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Ganti USER_EMAIL_ADDRESS dengan alamat email pengguna Pengelola Kepatuhan.

3. Konfigurasi aturan ingress berikut untuk menjalankan audit project:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudasset.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Ganti kode berikut:

   • USER_EMAIL_ADDRESS: alamat email pengguna Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: alamat email agen layanan Cloud Security Compliance.

4. Konfigurasi aturan ingress berikut untuk menjalankan audit pada folder:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: "*"
       resources: "*"
   

   Ganti kode berikut:

   • USER_EMAIL_ADDRESS: alamat email pengguna Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: alamat email agen layanan Cloud Security Compliance.

   Akses luas diperlukan untuk mengizinkan audit semua resource dalam project di dalam folder.

5. Konfigurasi aturan ingress berikut untuk menjalankan audit saat bucket Cloud Storage yang terdaftar berada di dalam perimeter:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
     resources: "*"
   

   Ganti kode berikut:

   • USER_EMAIL_ADDRESS: alamat email pengguna Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: alamat email agen layanan Cloud Security Compliance.

6. Konfigurasi aturan egress berikut untuk menjalankan audit saat bucket Cloud Storage yang terdaftar berada di dalam perimeter:

   - egressFrom:
     identities:
       - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
         - user: USER_EMAIL_ADDRESS
       sources:
         - accessLevel: "*"
     egressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
       resources: "*"
   

   Ganti kode berikut:

   • USER_EMAIL_ADDRESS: alamat email pengguna Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: alamat email agen layanan Cloud Security Compliance.

Langkah berikutnya

• Mendiagnosis masalah menggunakan pemecah masalah Kontrol Layanan VPC atau penganalisis pelanggaran Kontrol Layanan VPC.