Dieses Dokument gilt nur für die Premium-Stufe von Assured Open Source Software.
Weitere Informationen finden Sie unter Richtlinien für ausgehenden Traffic konfigurieren.
Hinweis
Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.
Sie benötigen folgende Informationen:
- Das Dienstkonto, mit dem Sie Assured OSS eingerichtet haben.
- Der Artifact Registry-Dienst-Agent, der beim Einrichten von Assured OSS automatisch erstellt wurde.
- Das Nutzerkonto, mit dem Assured OSS eingerichtet wurde.
Ausgangsregel für den Download von Binärdateien aus Assured OSS-Repositories konfigurieren
Führen Sie diese Aufgabe für Ihre Artifact Registry-Repositories aus.
Konfigurieren Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: die E-Mail-Adresse des Artifact Registry-Kundenservicemitarbeiters.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: die E-Mail-Adressen anderer Dienstkonten, die Zugriff auf die Open-Source-Pakete benötigen.
USER_GROUP: die Gruppen, die Zugriff auf die Open-Source-Pakete benötigen. Beispiel:
group:my-group@example.comoderuser:alex@example.com.
Regel für ausgehenden Traffic beim Zugriff auf Sicherheitsmetadaten aus dem Assured OSS-Bucket konfigurieren
Führen Sie diese Aufgabe für das Nutzerkonto und das Dienstkonto aus, mit denen Sie Assured OSS eingerichtet haben.
Konfigurieren Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ASSURED_OSS_USER_EMAIL_ADDRESS: die E-Mail-Adresse des Nutzerkontos, mit dem Sie Assured OSS eingerichtet haben.
Ausgehende Regel beim Einrichten von Pub/Sub-Benachrichtigungen konfigurieren
Führen Sie diese Aufgabe aus, um Pub/Sub-Benachrichtigungen für Assured OSS einzurichten.
Erstellen Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ASSURED_OSS_USER_EMAIL_ADDRESS: die E-Mail-Adresse des Nutzerkontos, mit dem Sie Assured OSS eingerichtet haben.
Nachdem Sie das Abo konfiguriert haben, können Sie diese Ausgehende-Regel entfernen.