Si habilitas Assured Open Source Software (Assured OSS) en un perímetro de servicio de Controles de Servicio de VPC, debes configurar reglas de salida.
Este documento solo se aplica al nivel premium de Assured Open Source Software.
Para obtener más información, consulta Configurar políticas de salida.
Antes de empezar
Asegúrate de tener los roles necesarios para configurar Controles de Servicio de VPC a nivel de organización.
Asegúrate de que conoces la siguiente información:
- La cuenta de servicio que has usado para configurar Assured OSS.
- El agente de servicio de Artifact Registry que se creó automáticamente al configurar Assured OSS.
- La cuenta de usuario que configuró Assured OSS.
Configurar la regla de salida al descargar archivos binarios de repositorios de Assured OSS
Completa esta tarea en tus repositorios de Artifact Registry.
Configure la siguiente regla de salida:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Haz los cambios siguientes:
ASSURED_OSS_EMAIL_ADDRESS: la dirección de correo de la cuenta de servicio que especificaste al configurar Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: la dirección de correo del agente de servicio de Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: las direcciones de correo de otras cuentas de servicio que requieran acceso a los paquetes de código abierto.
USER_GROUP: los grupos que requieren acceso a los paquetes de código abierto. Por ejemplo,
group:my-group@example.comouser:alex@example.com.
Configurar la regla de salida al acceder a los metadatos de seguridad del bucket de Assured OSS
Completa esta tarea para la cuenta de usuario y la cuenta de servicio que has usado para configurar Assured OSS.
Configure la siguiente regla de salida:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Haz los cambios siguientes:
ASSURED_OSS_EMAIL_ADDRESS: la dirección de correo de la cuenta de servicio que especificaste al configurar Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: la dirección de correo de la cuenta de usuario que has usado para configurar Assured OSS.
Configurar la regla de salida al configurar las notificaciones de Pub/Sub
Completa esta tarea para configurar las notificaciones de Pub/Sub para Assured OSS.
Crea la siguiente regla de salida:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Haz los cambios siguientes:
ASSURED_OSS_EMAIL_ADDRESS: la dirección de correo de la cuenta de servicio que especificaste al configurar Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: la dirección de correo de la cuenta de usuario que has usado para configurar Assured OSS.
Una vez que hayas configurado la suscripción, podrás eliminar esta regla de salida.