Mengizinkan Penilaian Kerentanan untuk Google Cloud mengakses perimeter Kontrol Layanan VPC

Dokumen ini menjelaskan cara menambahkan aturan ingress dan egress untuk mengizinkan Vulnerability Assessment for Google Cloud memindai VM di perimeter Kontrol Layanan VPC Anda. Lakukan tugas ini jika organisasi Anda menggunakan Kontrol Layanan VPC untuk membatasi layanan di project yang ingin Anda pindai dengan Vulnerability Assessment for Google Cloud . Untuk mengetahui informasi selengkapnya tentang Vulnerability Assessment for Google Cloud, lihat Mengaktifkan dan menggunakan Vulnerability Assessment for Google Cloud untuk Google Cloud.

Sebelum memulai

Pastikan Anda memiliki peran berikut di organisasi: Editor Access Context Manager (roles/accesscontextmanager.policyEditor).

Memeriksa peran

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.
  3. Di kolom Akun utama, temukan semua baris yang mengidentifikasi Anda atau grup yang menyertakan Anda. Untuk mengetahui grup mana yang menyertakan Anda, hubungi administrator Anda.

  4. Untuk semua baris yang menentukan atau menyertakan Anda, periksa kolom Peran untuk melihat apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Grant access.
  4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.

  5. Klik Select a role, lalu telusuri peran.
  6. Untuk memberikan peran tambahan, klik Add another role , lalu tambahkan setiap peran tambahan.
  7. Klik Save.

Membuat aturan egress dan ingress

Untuk mengizinkan Vulnerability Assessment for Google Cloud memindai VM di perimeter Kontrol Layanan VPC, tambahkan aturan egress dan ingress yang diperlukan di perimeter tersebut. Lakukan langkah-langkah ini untuk setiap perimeter yang ingin Anda pindai dengan Vulnerability Assessment for Google Cloud .

Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan dalam dokumentasi Kontrol Layanan VPC.

Konsol

  1. Di Google Cloud konsol, buka halaman VPC Service Controls.

    Buka Kontrol Layanan VPC

  2. Pilih organisasi Anda.
  3. Di daftar drop-down, pilih kebijakan akses yang berisi perimeter layanan yang ingin Anda berikan aksesnya.

    Perimeter layanan yang terkait dengan kebijakan akses akan muncul dalam daftar.

  4. Klik nama perimeter layanan yang ingin Anda perbarui.

    Untuk menemukan perimeter layanan yang perlu Anda ubah, Anda dapat memeriksa log untuk entri yang menampilkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Di entri tersebut, periksa kolom servicePerimeterName:

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Klik Edit.

Menambahkan aturan egress

  1. Klik Egress policy.
  2. Klik Add an egress rule.
  3. Di bagian From, tetapkan detail berikut:

    1. Untuk Identities > Identity, pilih Select identities & groups.
    2. Klik Add identities.
    3. Masukkan alamat email yang mengidentifikasi Cloud Security Command Center Agen Layanan. Alamat ini memiliki format berikut:

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    4. Pilih agen layanan atau tekan ENTER, lalu klik Add identities.
  4. Di bagian To, tetapkan detail berikut:

    1. Untuk Resources > Projects, pilih All projects.
    2. Untuk Operations or IAM roles, pilih Select operations.
    3. Klik Add operations, lalu tambahkan operasi berikut:

      • Tambahkan layanan compute.googleapis.com.
        1. Klik Select methods.
        2. Pilih metode DisksService.Insert.

        3. Klik Add selected methods.

Menambahkan aturan ingress

  1. Klik Ingress policy.
  2. Klik Add an ingress rule.
  3. Di bagian From, tetapkan detail berikut:

    1. Untuk Identities > Identity, pilih Select identities & groups.
    2. Klik Add identities.
    3. Masukkan alamat email yang mengidentifikasi Cloud Security Command Center Agen Layanan. Alamat ini memiliki format berikut:

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    4. Pilih agen layanan atau tekan ENTER, lalu klik Add identities.
  4. Di bagian To, tetapkan detail berikut:

    1. Untuk Resources > Projects, pilih All projects.
    2. Untuk Operations or IAM roles, pilih Select operations.
    3. Klik Add operations, lalu tambahkan operasi berikut:

      • Tambahkan layanan compute.googleapis.com.
        1. Klik Select methods.
        2. Pilih metode berikut:

          • DisksService.Insert
          • InstancesService.AggregatedList
          • InstancesService.List
        3. Klik Add selected methods.
  5. Klik Save.

gcloud

  1. Jika project kuota belum ditetapkan, tetapkan project kuota. Pilih project yang mengaktifkan Access Context Manager API.

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Ganti QUOTA_PROJECT_ID dengan ID project yang ingin Anda gunakan untuk penagihan dan kuota.

  2. Buat file bernama egress-rule.yaml dengan konten berikut:

    - egressFrom:
        identities:
        - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
      egressTo:
        operations:
        - serviceName: compute.googleapis.com
          methodSelectors:
          - method: DisksService.Insert
        resources:
        - '*'

    Ganti ORGANIZATION_ID dengan ID organisasi Anda.

  3. Buat file bernama ingress-rule.yaml dengan konten berikut:

    - ingressFrom:
        identities:
        - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
        sources:
        - accessLevel: '*'
      ingressTo:
        operations:
        - serviceName: compute.googleapis.com
          methodSelectors:
          - method: DisksService.Insert
          - method: InstancesService.AggregatedList
          - method: InstancesService.List
        resources:
        - '*'

    Ganti ORGANIZATION_ID dengan ID organisasi Anda.

  4. Tambahkan aturan egress ke perimeter:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
        --set-egress-policies=egress-rule.yaml

    Ganti kode berikut:

    • PERIMETER_NAME: nama perimeter. Misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Untuk menemukan perimeter layanan yang perlu Anda ubah, Anda dapat memeriksa log untuk entri yang menampilkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Di entri tersebut, periksa kolom servicePerimeterName:

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Tambahkan aturan ingress ke perimeter:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
        --set-ingress-policies=ingress-rule.yaml

    Ganti kode berikut:

    • PERIMETER_NAME: nama perimeter. Misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Untuk menemukan perimeter layanan yang perlu Anda ubah, Anda dapat memeriksa log untuk entri yang menampilkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Di entri tersebut, periksa kolom servicePerimeterName:

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Untuk mengetahui informasi selengkapnya, lihat Aturan ingress dan egress.