Configura la compatibilidad con Assured OSS para los Controles del servicio de VPC

Si habilitas Assured Open Source Software (Assured OSS) dentro de un perímetro de servicio de Controles del servicio de VPC, debes configurar reglas de salida.

Este documento solo se aplica al nivel premium del software de código abierto garantizado.

Para obtener más información, consulta Configura políticas de salida.

Antes de comenzar

  1. Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.

  2. Asegúrate de conocer la siguiente información:

    • La cuenta de servicio que usaste para configurar Assured OSS.
    • El agente de servicio de Artifact Registry que se creó automáticamente cuando configuraste Assured OSS.
    • Es la cuenta de usuario que configuró Assured OSS.

Configura la regla de salida cuando descargues archivos binarios de los repositorios de Assured OSS

Completa esta tarea para tus repositorios de Artifact Registry.

Configura la siguiente regla de salida:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

Reemplaza lo siguiente:

  • ASSURED_OSS_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio que especificaste cuando configuraste Assured OSS.

  • ARTIFACT_REGISTRY_EMAIL_ADDRESS: Es la dirección de correo electrónico del agente de servicio de Artifact Registry.

  • OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: Las direcciones de correo electrónico de otras cuentas de servicio que requieren acceso a los paquetes de código abierto.

  • USER_GROUP: Son los grupos que requieren acceso a los paquetes de código abierto. Por ejemplo, group:my-group@example.com o user:alex@example.com.

Configura la regla de salida cuando accedas a los metadatos de seguridad desde el bucket de Assured OSS

Completa esta tarea para la cuenta de usuario y la cuenta de servicio que usaste para configurar Assured OSS.

Configura la siguiente regla de salida:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

Reemplaza lo siguiente:

  • ASSURED_OSS_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio que especificaste cuando configuraste Assured OSS.

  • ASSURED_OSS_USER_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de usuario que usaste para configurar Assured OSS.

Configura la regla de salida cuando configures las notificaciones de Pub/Sub

Completa esta tarea para configurar las notificaciones de Pub/Sub para OSS asegurado.

Crea la siguiente regla de salida:

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

Reemplaza lo siguiente:

  • ASSURED_OSS_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio que especificaste cuando configuraste Assured OSS.

  • ASSURED_OSS_USER_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de usuario que usaste para configurar Assured OSS.

Después de configurar la suscripción, puedes quitar esta regla de salida.

¿Qué sigue?