מתן הרשאה ל-VM Threat Detection לגשת לאזורים של VPC Service Controls

במאמר הזה מוסבר איך להוסיף כללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) כדי לאפשר לזיהוי איומים במכונות וירטואליות לסרוק מכונות וירטואליות באזורים של VPC Service Controls. צריך לבצע את המשימה הזו אם הארגון שלכם משתמש ב-VPC Service Controls כדי להגביל שירותים בפרויקטים שאתם רוצים ש-VM Threat Detection יסרוק. מידע נוסף על זיהוי איומים במכונות וירטואליות זמין במאמר סקירה כללית על זיהוי איומים במכונות וירטואליות.

לפני שמתחילים

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. לוחצים על ‎ Grant access.

  4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

  5. לוחצים על בחירת תפקיד ומחפשים את התפקיד.
  6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים את כולם.
  7. לוחצים על Save.

    8. יצירת כללים לתעבורת נתונים יוצאת (egress) ונכנסת (ingress)

    כדי לאפשר ל-VM Threat Detection לסרוק את ה-VM-ים באזורים של VPC Service Controls, צריך להוסיף את הכללים הנדרשים לתעבורת נתונים יוצאת ונכנסת באזורים האלה. מבצעים את השלבים האלה לכל גבול גזרה שרוצים ש-VM Threat Detection יסרוק.

    מידע נוסף זמין במאמר עדכון מדיניות תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) של גבולות גזרה לשירות במסמכי העזרה של VPC Service Controls.

    המסוף

    1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

      מעבר אל VPC Service Controls

    2. בוחרים את הארגון.

    3. ברשימה הנפתחת, בוחרים את מדיניות הגישה שמכילה את גבולות הגזרה לשירות שרוצים להעניק לו גישה.

      גבולות הגזרה לשירות שמשויכים למדיניות הגישה מופיעים ברשימה.

    4. לוחצים על השם של גבולות הגזרה לשירות שרוצים לעדכן.

      כדי למצוא את גבולות הגזרה לשירות שצריך לשנות, אפשר לבדוק ביומנים ערכים שמציינים RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרות. ברשומות האלה, בודקים את השדה servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. לוחצים על עריכה.
    6. לוחצים על מדיניות יציאה.
    7. לוחצים על הוספת כלל ליציאה.

    8. בקטע מאת, מגדירים את הפרטים הבאים:

      1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
      2. לוחצים על הוספת זהויות.

      3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        מחליפים את ORGANIZATION_ID במזהה הארגון.

      4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

    9. בקטע To (אל), מגדירים את הפרטים הבאים:

      1. בקטע Resources > Projects, בוחרים באפשרות All projects.
      2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).

      3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:

        • מוסיפים את השירות compute.googleapis.com.
          1. לוחצים על בחירת אמצעי תשלום.

          2. בוחרים בשיטה DisksService.Insert.

          3. לוחצים על הוספת האמצעים שנבחרו.
    10. לוחצים על Ingress policy (מדיניות כניסה).
    11. לוחצים על הוספת כלל תעבורה נכנסת.

    12. בקטע מאת, מגדירים את הפרטים הבאים:

      1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
      2. לוחצים על הוספת זהויות.

      3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        מחליפים את ORGANIZATION_ID במזהה הארגון.

      4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

    13. בקטע To (אל), מגדירים את הפרטים הבאים:

      1. בקטע Resources > Projects, בוחרים באפשרות All projects.
      2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).

      3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:

        • מוסיפים את השירות compute.googleapis.com.
          1. לוחצים על בחירת אמצעי תשלום.

          2. בוחרים באחת מהשיטות הבאות:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. לוחצים על הוספת האמצעים שנבחרו.
    14. לוחצים על Save.

    gcloud

    1. אם עדיין לא הגדרתם פרויקט מכסת מכסות, תצטרכו להגדיר אותו. בוחרים פרויקט שבו מופעל Access Context Manager API. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      מחליפים את QUOTA_PROJECT_ID במזהה הפרויקט שבו רוצים להשתמש לחיוב ולמכסה.

    2. יוצרים קובץ בשם egress-rule.yaml עם התוכן הבא:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    3. יוצרים קובץ בשם ingress-rule.yaml עם התוכן הבא:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    4. מוסיפים את כלל היציאה להיקף:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      מחליפים את מה שכתוב בשדות הבאים:

      • PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

        כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים אם יש רשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. מוסיפים את כלל הכניסה להיקף:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      מחליפים את מה שכתוב בשדות הבאים:

      • PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

        כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים אם יש רשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    מידע נוסף זמין במאמר בנושא כללי כניסה ויציאה.

    המאמרים הבאים