VPC Service Controls の Assured OSS サポートを構成する

VPC Service Controls サービス境界内で Assured Open Source Software（Assured OSS）を有効にする場合は、下り（外向き）ルールを構成する必要があります。

このドキュメントは、Assured Open Source Software のプレミアム ティアにのみ適用されます。

詳細については、下り（外向き）ポリシーの構成をご覧ください。

始める前に

1. 組織レベルで VPC Service Controls を構成するために必要なロールがあることを確認します。

2. 次の情報を確認してください。

   • Assured OSS の設定に使用したサービス アカウント。
   • Assured OSS の設定時に自動的に作成された Artifact Registry サービス エージェント。
   • Assured OSS を設定したユーザー アカウント。

Assured OSS リポジトリからバイナリをダウンロードするときに下り（外向き）ルールを構成する

Artifact Registry リポジトリに対してこのタスクを完了します。

次の下り（外向き）ルールを構成します。

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/GoRead
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

次のように置き換えます。

• ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。

• ARTIFACT_REGISTRY_EMAIL_ADDRESS: Artifact Registry サービス エージェントのメールアドレス。

• OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: オープンソース パッケージへのアクセスを必要とする他のサービス アカウントのメールアドレス。

• USER_GROUP: オープンソース パッケージへのアクセスを必要とするグループ。たとえば、group:my-group@example.com や user:alex@example.com です。

Assured OSS バケットからセキュリティ メタデータにアクセスするときに下り（外向き）ルールを構成する

このタスクは、Assured OSS の設定に使用したユーザー アカウントとサービス アカウントに対して完了します。

次の下り（外向き）ルールを構成します。

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

次のように置き換えます。

• ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。

• ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS の設定に使用したユーザー アカウントのメールアドレス。

Pub/Sub 通知を設定するときに下り（外向き）ルールを構成する

このタスクを完了して、Assured OSS の Pub/Sub 通知を設定します。

次の下り（外向き）ルールを作成します。

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

次のように置き換えます。

• ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。

• ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS の設定に使用したユーザー アカウントのメールアドレス。

サブスクリプションを構成すると、この下り（外向き）ルールを削除できます。

次のステップ

• 下り（外向き）ポリシーの構成の詳細を確認する。

• VPC Service Controls で Security Command Center を有効にする。