Questo documento si applica solo al livello premium del software open source garantito.
Per ulteriori informazioni, consulta la sezione Configurare le norme di Egress.
Prima di iniziare
Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.
Assicurati di conoscere le seguenti informazioni:
- L'account di servizio utilizzato per configurare Assured OSS.
- L'agente di servizio Artifact Registry creato automaticamente durante la configurazione di Assured OSS.
- L'account utente che ha configurato Assured OSS.
Configura la regola di uscita quando scarichi i binari dai repository Assured OSS
Completa questa operazione per i tuoi repository Artifact Registry.
Configura la seguente regola in uscita:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email dell'account servizio specificato durante la configurazione di Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: l'indirizzo email dell'agente di servizio Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: gli indirizzi email di altri account di servizio che richiedono l'accesso ai pacchetti open source.
USER_GROUP: i gruppi che richiedono accesso ai pacchetti open source. Ad esempio,
group:my-group@example.comouser:alex@example.com.
Configura la regola di uscita quando accedi ai metadati di sicurezza dal bucket Assured OSS
Completa questa attività per l'account utente e l'account di servizio che hai utilizzato per configurare Assured OSS.
Configura la seguente regola in uscita:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email dell'account servizio specificato durante la configurazione di Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: l'indirizzo email dell'account utente utilizzato per configurare Assured OSS.
Configura la regola di uscita durante la configurazione delle notifiche Pub/Sub
Completa questa operazione per configurare le notifiche Pub/Sub per OSS garantito.
Crea la seguente regola in uscita:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email dell'account servizio specificato durante la configurazione di Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: l'indirizzo email dell'account utente utilizzato per configurare Assured OSS.
Dopo aver configurato l'abbonamento, puoi rimuovere questa regola di uscita.
Passaggi successivi
Scopri di più sulla configurazione dei criteri di uscita.
Abilita Security Command Center con i Controlli di servizio VPC.