Autoriser VM Threat Detection à accéder aux périmètres VPC Service Controls

Ce document explique comment ajouter des règles d'entrée et de sortie pour permettre à Virtual Machine Threat Detection d'analyser les VM dans vos périmètres VPC Service Controls. Effectuez cette tâche si votre organisation utilise VPC Service Controls pour limiter les services dans les projets que vous souhaitez que VM Threat Detection analyse. Pour en savoir plus sur VM Threat Detection, consultez la page Présentation de VM Threat Detection.

Avant de commencer

Assurez-vous de disposer du ou des rôles suivants dans l'organisation : Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor).

Vérifier les rôles

  1. Dans la Google Cloud console, accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.

  3. Dans la colonne Compte principal, recherchez toutes les lignes qui vous identifient ou identifient un groupe auquel vous appartenez. Pour savoir à quels groupes vous appartenez, contactez votre administrateur.

  4. Pour toutes les lignes qui vous spécifient ou vous incluent, consultez la colonne Rôle pour voir si la liste des rôles inclut les rôles requis.

Attribuer les rôles

  1. Dans la Google Cloud console, accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Cliquez sur Sélectionner un rôle, puis recherchez le rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
  7. Cliquez sur Enregistrer.

Créer les règles de sortie et d'entrée

Pour permettre à VM Threat Detection d'analyser les VM dans les périmètres VPC Service Controls, ajoutez les règles de sortie et d'entrée requises dans ces périmètres. Effectuez ces étapes pour chaque périmètre que vous souhaitez que VM Threat Detection analyse.

Pour en savoir plus, consultez Mettre à jour les règles d'entrée et de sortie pour un périmètre de service dans la documentation de VPC Service Controls.

Console

  1. Dans la Google Cloud console, accédez à la page VPC Service Controls.

    Accéder à VPC Service Controls

  2. Sélectionner votre organisation.

  3. Dans la liste déroulante, sélectionnez la règle d'accès contenant le périmètre de service auquel vous souhaitez accorder l'accès.

    Les périmètres de service associés à la règle d'accès apparaissent dans la liste.

  4. Cliquez sur le nom du périmètre de service que vous souhaitez mettre à jour.

    Pour trouver le périmètre de service que vous devez modifier, vous pouvez consulter vos journaux pour trouver les entrées qui indiquent des violations RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName : 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Cliquez sur Modifier.

Ajouter une règle de sortie

  1. Cliquez sur Règle de sortie.
  2. Cliquez sur Ajouter une règle de sortie.

  3. Dans la section De, définissez les détails suivants :

    1. Pour Identités > Identité, sélectionnez Sélectionner des identités et des groupes.
    2. Cliquez sur Ajouter des identités.

    3. Saisissez l'adresse e-mail qui identifie l'agent de service Cloud Security Command Center Service. Cette adresse est au format suivant : 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Remplacez ORGANIZATION_ID par votre ID d'organisation.

    4. Sélectionnez l'agent de service ou appuyez sur ENTER, puis cliquez sur Add identities.

  4. Dans la section À, définissez les détails suivants :

    1. Pour Ressources > Projets, sélectionnez Tous les projets.
    2. Pour Opérations ou rôles IAM, sélectionnez Sélectionner des opérations.

    3. Cliquez sur Ajouter des opérations, puis ajoutez les opérations suivantes :

      • Ajoutez le service compute.googleapis.com.
        1. Cliquez sur Sélectionner des méthodes.

        2. Select the DisksService.Insert method.

        3. Cliquez sur Ajouter les méthodes sélectionnées.

Ajouter une règle d'entrée

  1. Cliquez sur Règle d'entrée.
  2. Cliquez sur Ajouter une règle d'entrée.

  3. Dans la section De, définissez les détails suivants :

    1. Pour Identités > Identité, sélectionnez Sélectionner des identités et des groupes.
    2. Cliquez sur Ajouter des identités.

    3. Saisissez l'adresse e-mail qui identifie l'agent de service Cloud Security Command Center Service. Cette adresse est au format suivant : 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Remplacez ORGANIZATION_ID par votre ID d'organisation.

    4. Sélectionnez l'agent de service ou appuyez sur ENTER, puis cliquez sur Add identities.

  4. Dans la section À, définissez les détails suivants :

    1. Pour Ressources > Projets, sélectionnez Tous les projets.
    2. Pour Opérations ou rôles IAM, sélectionnez Sélectionner des opérations.

    3. Cliquez sur Ajouter des opérations, puis ajoutez les opérations suivantes :

      • Ajoutez le service compute.googleapis.com.
        1. Cliquez sur Sélectionner des méthodes.

        2. Sélectionnez les méthodes suivantes :

          • DisksService.Insert
          • InstancesService.AggregatedList
          • InstancesService.List
        3. Cliquez sur Ajouter les méthodes sélectionnées.
  5. Cliquez sur Enregistrer.

gcloud

  1. Si aucun projet de quota n'est déjà défini, définissez-en un. Choisissez un projet pour lequel l' API Access Context Manager est activée. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Remplacez QUOTA_PROJECT_ID par l'ID du projet que vous souhaitez utiliser pour la facturation et les quotas.

  2. Créez un fichier nommé egress-rule.yaml avec le contenu suivant :

    - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

    Remplacez ORGANIZATION_ID par votre ID d'organisation.

  3. Créez un fichier nommé ingress-rule.yaml avec le contenu suivant :

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

    Remplacez ORGANIZATION_ID par votre ID d'organisation.

  4. Ajoutez la règle de sortie au périmètre :

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

    Remplacez les éléments suivants :

    • PERIMETER_NAME : nom du périmètre. Exemple : accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Pour trouver le périmètre de service que vous devez modifier, vous pouvez consulter vos journaux pour trouver les entrées qui indiquent des RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER violations. Dans ces entrées, vérifiez le champ servicePerimeterName : 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

  5. Ajoutez la règle d'entrée au périmètre :

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Remplacez les éléments suivants :

    • PERIMETER_NAME : nom du périmètre. Exemple : accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Pour trouver le périmètre de service que vous devez modifier, vous pouvez consulter vos journaux pour trouver les entrées qui indiquent des RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER violations. Dans ces entrées, vérifiez le champ servicePerimeterName : 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Pour plus d'informations, consultez la section Règles d'entrée et de sortie.

Étape suivante