Ce document ne s'applique qu'au niveau premium du logiciel Open Source assuré.
Pour en savoir plus, consultez la section Configurer les règles de sortie.
Avant de commencer
Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.
Assurez-vous de connaître les informations suivantes:
- Le compte de service que vous avez utilisé pour configurer Assured OSS.
- L'agent de service Artifact Registry créé automatiquement lorsque vous configurez Assured OSS.
- Compte utilisateur ayant configuré Assured OSS.
Configurer la règle de sortie lors du téléchargement de binaires à partir de dépôts Assured OSS
Effectuez cette tâche pour vos dépôts Artifact Registry.
Configurez la règle de sortie suivante:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Remplacez les éléments suivants :
ASSURED_OSS_EMAIL_ADDRESS: adresse e-mail du compte de service que vous avez spécifiée lorsque vous avez configuré Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: adresse e-mail de l'agent de service Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: adresses e-mail des autres comptes de service qui ont besoin d'accéder aux packages Open Source.
USER_GROUP: groupes qui ont besoin d'accéder aux packages Open Source. par exemple,
group:my-group@example.comouuser:alex@example.com.
Configurer la règle de sortie lorsque vous accédez aux métadonnées de sécurité à partir du bucket Assured OSS
Effectuez cette tâche pour le compte utilisateur et le compte de service que vous avez utilisés pour configurer Assured OSS.
Configurez la règle de sortie suivante:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Remplacez les éléments suivants :
ASSURED_OSS_EMAIL_ADDRESS: adresse e-mail du compte de service que vous avez spécifiée lorsque vous avez configuré Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: adresse e-mail du compte utilisateur que vous avez utilisé pour configurer Assured OSS.
Configurer la règle de sortie lors de la configuration des notifications Pub/Sub
Effectuez cette tâche pour configurer les notifications Pub/Sub pour l'OSS assuré.
Créez la règle de sortie suivante:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Remplacez les éléments suivants :
ASSURED_OSS_EMAIL_ADDRESS: adresse e-mail du compte de service que vous avez spécifiée lorsque vous avez configuré Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: adresse e-mail du compte utilisateur que vous avez utilisé pour configurer Assured OSS.
Une fois l'abonnement configuré, vous pouvez supprimer cette règle de sortie.
Étape suivante
Découvrez comment configurer des règles de sortie.