Permitir que a VM Threat Detection acesse os perímetros do VPC Service Controls

Neste documento, descrevemos como adicionar regras de entrada e saída para permitir que a Detecção de ameaças a máquinas virtuais verifique VMs nos perímetros do VPC Service Controls. Faça isso se a organização usa o VPC Service Controls para restringir serviços em projetos que você quer que a Detecção de ameaças em VMs verifique. Para mais informações sobre a detecção de ameaças da VM, consulte Visão geral da detecção de ameaças da VM.

Antes de começar

Verifique se você tem os seguintes papéis na organização: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Verificar os papéis

No console do Google Cloud , acesse a página IAM.
Acessar IAM
Selecione a organização.
Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com o administrador.
Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.

Conceder os papéis

No console do Google Cloud , acesse a página IAM.
Acessar o IAM
Selecione a organização.
Clique em Conceder acesso.
No campo Novos principais, digite seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
Clique em Selecionar um papel e pesquise o papel.
Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
Clique em Salvar.

Criar as regras de entrada e saída

Para permitir que a VM Threat Detection verifique as VMs nos perímetros do VPC Service Controls, adicione as regras de saída e entrada necessárias nesses perímetros. Siga estas etapas para cada perímetro que você quer que a VM Threat Detection verifique.

Para mais informações, consulte Como atualizar políticas de entrada e saída de um perímetro de serviço na documentação do VPC Service Controls.

Console

No console do Google Cloud , acesse a página VPC Service Controls.

Acessar o VPC Service Controls
Selecione a organização.
Na lista suspensa, selecione a política de acesso que contém o perímetro de serviço a que você quer conceder acesso.

Os perímetros de serviço associados à política de acesso aparecem na lista.
Clique no nome do perímetro de serviço que você quer atualizar.

Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram violações RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Clique em Editar.
Clique em Política de saída.
Clique em Adicionar uma regra de saída.
Na seção De, defina os seguintes detalhes:
1. Em Identidades > Identidade, selecione Selecionar identidades e grupos.
2. Clique em Adicionar identidades.
3. Insira o endereço de e-mail que identifica o agente de serviço do Cloud Security Command Center. Esse endereço tem o seguinte formato:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  Substitua ORGANIZATION_ID pelo ID da organização.
4. Selecione o agente de serviço ou pressione ENTER e clique em Adicionar identidades.
Na seção Para, defina os seguintes detalhes:
1. Em Recursos > Projetos, selecione Todos os projetos.
2. Em Operações ou papéis do IAM, selecione Selecionar operações.
3. Clique em Adicionar operações e adicione as seguintes operações:
  - Adicione o serviço compute.googleapis.com.
    1. Clique em Selecionar métodos.
    2. Selecione o método DisksService.Insert.
    3. Clique em Adicionar métodos selecionados.
Clique em Política de entrada.
Clique em Adicionar uma regra de entrada.
Na seção De, defina os seguintes detalhes:
1. Em Identidades > Identidade, selecione Selecionar identidades e grupos.
2. Clique em Adicionar identidades.
3. Insira o endereço de e-mail que identifica o agente de serviço do Cloud Security Command Center. Esse endereço tem o seguinte formato:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  Substitua ORGANIZATION_ID pelo ID da organização.
4. Selecione o agente de serviço ou pressione ENTER e clique em Adicionar identidades.
Na seção Para, defina os seguintes detalhes:
1. Em Recursos > Projetos, selecione Todos os projetos.
2. Em Operações ou papéis do IAM, selecione Selecionar operações.
3. Clique em Adicionar operações e adicione as seguintes operações:
  - Adicione o serviço compute.googleapis.com.
    1. Clique em Selecionar métodos.
    2. Selecione os seguintes métodos:
      - DisksService.Insert
      - InstancesService.AggregatedList
      - InstancesService.List
    3. Clique em Adicionar métodos selecionados.
Clique em Salvar.

gcloud

Se um projeto de cota ainda não estiver definido, faça isso. Escolha um projeto que tenha a API Access Context Manager ativada.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Substitua QUOTA_PROJECT_ID pelo ID do projeto que você quer usar para faturamento e cota.

Crie um arquivo chamado egress-rule.yaml com o seguinte conteúdo:

- egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

Substitua ORGANIZATION_ID pelo ID da organização.

Crie um arquivo chamado ingress-rule.yaml com o seguinte conteúdo:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'