Se abiliti Assured Open Source Software (Assured OSS) all'interno di un perimetro di servizio dei Controlli di servizio VPC, devi configurare le regole di uscita.
Questo documento si applica solo al livello premium di Assured Open Source Software.
Per saperne di più, consulta la sezione Configurazione dei criteri di uscita.
Prima di iniziare
Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.
Assicurati di conoscere le seguenti informazioni:
- Il account di servizio che hai utilizzato per configurare Assured OSS.
- L'agente di servizio Artifact Registry che è stato creato automaticamente durante la configurazione di Assured OSS.
- L'account utente che ha configurato Assured OSS.
Configura la regola di uscita quando scarichi i file binari dai repository Assured OSS
Completa questa attività per i tuoi repository Artifact Registry.
Configura la seguente regola in uscita:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email del account di servizio che hai specificato durante la configurazione di Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: l'indirizzo email dell'agente di servizio Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: gli indirizzi email di altri service account che richiedono l'accesso ai pacchetti open source.
USER_GROUP: i gruppi che richiedono l'accesso ai pacchetti open source. Ad esempio,
group:my-group@example.comouser:alex@example.com.
Configura la regola di uscita quando accedi ai metadati di sicurezza dal bucket Assured OSS
Completa questa attività per l'account utente e l'account di servizio che hai utilizzato per configurare Assured OSS.
Configura la seguente regola in uscita:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email del account di servizio che hai specificato durante la configurazione di Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: l'indirizzo email dell'account utente che hai utilizzato per configurare Assured OSS.
Configura la regola di uscita durante la configurazione delle notifiche Pub/Sub
Completa questa attività per configurare le notifiche Pub/Sub per Assured OSS.
Crea la seguente regola di uscita:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Sostituisci quanto segue:
ASSURED_OSS_EMAIL_ADDRESS: l'indirizzo email del account di servizio che hai specificato durante la configurazione di Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: l'indirizzo email dell'account utente che hai utilizzato per configurare Assured OSS.
Dopo aver configurato l'abbonamento, puoi rimuovere questa regola di uscita.
Passaggi successivi
Scopri di più sulla configurazione delle norme di uscita.
Abilita Security Command Center con i Controlli di servizio VPC.