Consenti a Event Threat Detection di accedere ai perimetri dei Controlli di servizio VPC

Questo documento descrive come aggiungere regole in entrata per consentire a Event Threat Detection di monitorare gli stream di logging in Security Command Center all'interno dei perimetri dei Controlli di servizio VPC. Esegui questa attività se la tua organizzazione utilizza i Controlli di servizio VPC per limitare i servizi nei progetti che vuoi che Event Threat Detection monitori. Per saperne di più su Event Threat Detection, consulta la panoramica di Event Threat Detection.

Prima di iniziare

Assicurati di avere il seguente ruolo o i seguenti ruoli nell'organizzazione: Cloud Asset Service Agent (roles/cloudasset.serviceAgent).

Controlla i ruoli

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.

  3. Nella colonna Entità, trova tutte le righe che identificano te o un gruppo di cui fai parte. Per scoprire i gruppi di cui fai parte, contatta l' amministratore.

  4. Per tutte le righe che ti specificano o ti includono, controlla la colonna Ruolo per verificare se l'elenco dei ruoli include i ruoli richiesti.

Concedi i ruoli

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Fai clic su Seleziona un ruolo, quindi cerca il ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

Crea le regole in entrata

Per consentire a Event Threat Detection di monitorare gli stream di logging in Security Command Center all'interno dei perimetri dei Controlli di servizio VPC, aggiungi le regole in entrata richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che Event Threat Detection monitori.

Per saperne di più, consulta Aggiornamento delle policy in entrata e in uscita per un perimetro di servizio nella documentazione dei Controlli di servizio VPC.

Console

  1. Nella Google Cloud console, vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Seleziona la tua organizzazione.

  3. Nell'elenco a discesa, seleziona la policy di accesso che contiene il perimetro di servizio a cui vuoi concedere l'accesso.

    I perimetri di servizio associati alla policy di accesso vengono visualizzati nell'elenco.

  4. Fai clic sul nome del perimetro di servizio che vuoi aggiornare.

    Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Fai clic su Modifica.

Aggiungi una regola in entrata

  1. Fai clic su Criterio in entrata.
  2. Fai clic su Aggiungi una regola in entrata.

  3. Nella sezione Da, imposta i seguenti dettagli:

    1. Per Identità > Identità, seleziona Seleziona identità e gruppi.
    2. Fai clic su Aggiungi identità.

    3. Inserisci l'indirizzo email che identifica il Cloud Security Command Center Service Agent. Questo indirizzo ha il seguente formato: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

    4. Seleziona il service agent o premi INVIO, quindi fai clic su Aggiungi identità.

  4. Nella sezione A, imposta i seguenti dettagli:

    1. Per Risorse > Progetti, seleziona Tutti i progetti.
    2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

    3. Fai clic su Aggiungi operazioni, quindi aggiungi le seguenti operazioni:

      • Aggiungi il servizio cloudasset.googleapis.com.
        1. Fai clic su Tutti i metodi.
        2. Fai clic su Aggiungi tutti i metodi.
  5. Fai clic su Salva.

gcloud

  1. Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l' API Gestore contesto accesso. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

  2. Crea un file denominato ingress-rule.yaml con i seguenti contenuti:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

  3. Aggiungi la regola in entrata al perimetro:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Sostituisci quanto segue:

    • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER violazioni. In queste voci, controlla il campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Per saperne di più, consulta Regole in entrata e in uscita.

Passaggi successivi