Utilizzare Compliance Manager con i Controlli di servizio VPC

Se abiliti Compliance Manager all'interno di un perimetro di servizio Controlli di servizio VPC, devi configurare le regole di uscita e ingresso.

Puoi modificare le seguenti regole di ingresso e uscita di esempio per soddisfare i requisiti della tua attività.

Per informazioni sulle limitazioni, vedi Prodotti supportati e limitazioni.

Prima di iniziare

1. Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.

2. Per garantire l'accesso alle risorse esistenti nell'organizzazione o nelle cartelle, concedi il ruolo Amministratore di Compliance Manager (roles/cloudsecuritycompliance.admin) a livello di organizzazione.

3. Assicurati di sapere quanto segue:

   • L'indirizzo email dell'agente di servizio Cloud Security Compliance (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

   • Gli indirizzi email degli utenti di Compliance Manager. Gli utenti di Compliance Manager sono le persone che amministrano Compliance Manager ed eseguono attività come i controlli.

4. Verifica che il service agent del servizio di conformità alla sicurezza cloud disponga delle autorizzazioni richieste all'interno del perimetro per completare un audit. Per ulteriori informazioni, vedi Eseguire l'audit dell'ambiente con Compliance Manager.

Aggiungere regole in entrata e in uscita

1. Aggiungi la seguente regola in entrata:

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: securitycenter.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Sostituisci USER_EMAIL_ADDRESS con l'indirizzo email dell'utente Compliance Manager.

2. Aggiungi la seguente regola di ingresso per consentire a Compliance Manager di monitorare e controllare le risorse nella tua organizzazione Google Cloud :

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudsecuritycompliance.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Sostituisci USER_EMAIL_ADDRESS con l'indirizzo email dell'utente Compliance Manager.

3. Configura la seguente regola di ingresso per eseguire gli audit per un progetto:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudasset.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Sostituisci quanto segue:

   • USER_EMAIL_ADDRESS: l'indirizzo email dell'utente di Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: l'indirizzo email del service agent Cloud Security Compliance.

4. Configura la seguente regola di ingresso per eseguire gli audit per una cartella:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: "*"
       resources: "*"
   

   Sostituisci quanto segue:

   • USER_EMAIL_ADDRESS: l'indirizzo email dell'utente di Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: l'indirizzo email del service agent Cloud Security Compliance.

   È necessario un accesso ampio per consentire l'audit di tutte le risorse nei progetti all'interno della cartella.

5. Configura la seguente regola di ingresso per eseguire un controllo quando il bucket Cloud Storage registrato si trova all'interno del perimetro:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
     resources: "*"
   

   Sostituisci quanto segue:

   • USER_EMAIL_ADDRESS: l'indirizzo email dell'utente di Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: l'indirizzo email del service agent Cloud Security Compliance.

6. Configura la seguente regola di uscita per eseguire un controllo quando il bucket Cloud Storage registrato si trova all'interno del perimetro:

   - egressFrom:
     identities:
       - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
         - user: USER_EMAIL_ADDRESS
       sources:
         - accessLevel: "*"
     egressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
       resources: "*"
   

   Sostituisci quanto segue:

   • USER_EMAIL_ADDRESS: l'indirizzo email dell'utente di Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: l'indirizzo email del service agent Cloud Security Compliance.

Passaggi successivi

• Diagnostica i problemi utilizzando lo strumento per la risoluzione dei problemi di Controlli di servizio VPC o l'analizzatore delle violazioni dei Controlli di servizio VPC.