Permita que a Deteção de ameaças de VMs aceda aos perímetros do VPC Service Controls

Este documento descreve como adicionar regras de entrada e saída para permitir que a Deteção de ameaças de máquinas virtuais analise VMs nos seus perímetros do VPC Service Controls. Realize esta tarefa se a sua organização usar os VPC Service Controls para restringir os serviços em projetos que quer que a Deteção de ameaças de VMs analise. Para mais informações sobre a deteção de ameaças de VMs, consulte a vista geral da deteção de ameaças de VMs.

Antes de começar

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Aceder ao IAM
  2. Selecione a organização.
  3. Clique em Conceder acesso.

  4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

  5. Na lista Selecionar uma função, selecione uma função.
  6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
  7. Clique em Guardar.

    8. Crie as regras de saída e entrada

    Para permitir que a Deteção de ameaças de VMs analise as VMs nos perímetros do VPC Service Controls, adicione as regras de saída e entrada necessárias nesses perímetros. Execute estes passos para cada perímetro que quer que a Deteção de ameaças de VMs analise.

    Para mais informações, consulte o artigo Atualizar políticas de entrada e saída para um perímetro de serviço na documentação do VPC Service Controls.

    Consola

    1. Na Google Cloud consola, aceda à página VPC Service Controls.

      Aceda aos VPC Service Controls

    2. Selecione a sua organização ou projeto.

    3. Na lista pendente, selecione a política de acesso que contém o perímetro de serviço ao qual quer conceder acesso.

      Os perímetros de serviço associados à política de acesso aparecem na lista.

    4. Clique no nome do perímetro de serviço que quer atualizar.

      Para encontrar o perímetro de serviço que tem de modificar, pode verificar as entradas nos registos que mostram violações de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Clique em Editar.
    6. Clique em Política de saída.
    7. Clique em Adicionar regra de saída.

    8. Na secção De, defina os seguintes detalhes:

      1. Em Identidades > Identidade, selecione Selecionar identidades e grupos.
      2. Clique em Adicionar identidades.

      3. Introduza o endereço de email do agente de serviço do Cloud Security Command Center. A morada do agente de serviço tem o seguinte formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Substitua ORGANIZATION_ID pelo ID da sua organização.

      4. Selecione o agente de serviços ou prima ENTER e, de seguida, clique em Adicionar identidades.

    9. Na secção Para, defina os seguintes detalhes:

      1. Em Recursos > Projetos, selecione Todos os projetos.
      2. Para Funções de operações ou do IAM, selecione Selecionar operações.

      3. Clique em Adicionar operações e, de seguida, adicione as seguintes operações:

        • Adicione o serviço compute.googleapis.com.
          1. Clique em Selecionar métodos.

          2. Selecione o método DisksService.Insert.

          3. Clique em Adicionar métodos selecionados.
    10. Clique em Política de entrada.
    11. Clique em Adicionar uma regra de entrada.

    12. Na secção De, defina os seguintes detalhes:

      1. Em Identidades > Identidade, selecione Selecionar identidades e grupos.
      2. Clique em Adicionar identidades.

      3. Introduza o endereço de email do agente do serviço do centro de segurança. A morada do agente de serviço tem o seguinte formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Substitua ORGANIZATION_ID pelo ID da sua organização.

      4. Selecione o agente de serviços ou prima ENTER e, de seguida, clique em Adicionar identidades.
      5. Em Fontes, selecione Todas as fontes.

    13. Na secção Para, defina os seguintes detalhes:

      1. Em Recursos > Projetos, selecione Todos os projetos.
      2. Para Funções de operações ou do IAM, selecione Selecionar operações.

      3. Clique em Adicionar operações e, de seguida, adicione as seguintes operações:

        • Adicione o serviço compute.googleapis.com.
          1. Clique em Selecionar métodos.

          2. Selecione os seguintes métodos:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. Clique em Adicionar métodos selecionados.
    14. Clique em Guardar.

    gcloud

    1. Se ainda não tiver sido definido um projeto de quota, defina-o. Escolha um projeto que tenha a API Access Context Manager ativada. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Substitua QUOTA_PROJECT_ID pelo ID do projeto que quer usar para faturação e quota.

    2. Crie um ficheiro denominado egress-rule.yaml com o seguinte conteúdo:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      Substitua ORGANIZATION_ID pelo ID da sua organização.

    3. Crie um ficheiro denominado ingress-rule.yaml com o seguinte conteúdo:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      Substitua ORGANIZATION_ID pelo ID da sua organização.

    4. Adicione a regra de saída ao perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      Substitua o seguinte:

      • PERIMETER_NAME: o nome do perímetro. Por exemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Para encontrar o perímetro de serviço que tem de modificar, pode verificar as entradas nos registos que mostram violações de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. Adicione a regra de entrada ao perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Substitua o seguinte:

      • PERIMETER_NAME: o nome do perímetro. Por exemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Para encontrar o perímetro de serviço que tem de modificar, pode verificar as entradas nos registos que mostram violações de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Consulte as Regras de entrada e saída para mais informações.

    O que se segue?