Este documento se aplica solo al nivel premium de software de código abierto asegurado.
Para obtener más información, consulta Configura políticas de salida.
Antes de comenzar
Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.
Asegúrate de conocer la siguiente información:
- La cuenta de servicio que usaste para configurar Assured OSS
- El agente de servicio de Artifact Registry que se creó automáticamente cuando configuraste Assured OSS
- La cuenta de usuario que configuró Assured OSS.
Configura la regla de salida cuando descargues objetos binarios de los repositorios de Assured OSS
Completa esta tarea para tus repositorios de Artifact Registry.
Configura la siguiente regla de salida:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Reemplaza lo siguiente:
ASSURED_OSS_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio que especificaste cuando configuraste Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: Es la dirección de correo electrónico del agente de servicio de Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: Las direcciones de correo electrónico de otras cuentas de servicio que requieren acceso a los paquetes de código abierto
USER_GROUP: Los grupos que requieren acceso a los paquetes de código abierto Por ejemplo,
group:my-group@example.comouser:alex@example.com.
Configura la regla de salida cuando accedas a los metadatos de seguridad desde el bucket de Assured OSS
Completa esta tarea para la cuenta de usuario y la cuenta de servicio que usaste para configurar Assured OSS.
Configura la siguiente regla de salida:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Reemplaza lo siguiente:
ASSURED_OSS_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio que especificaste cuando configuraste Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de usuario que usaste para configurar Assured OSS.
Configura la regla de salida cuando configures las notificaciones de Pub/Sub
Completa esta tarea para configurar las notificaciones de Pub/Sub para OSS asegurado.
Crea la siguiente regla de salida:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Reemplaza lo siguiente:
ASSURED_OSS_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de servicio que especificaste cuando configuraste Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: La dirección de correo electrónico de la cuenta de usuario que usaste para configurar Assured OSS.
Después de configurar la suscripción, puedes quitar esta regla de salida.
¿Qué sigue?
Obtén más información para configurar políticas de salida.
Habilita Security Command Center con los Controles del servicio de VPC.