VPC Service Controls の Assured OSS サポートを構成する

VPC Service Controls サービス境界内で Assured Open Source Software(Assured OSS)を有効にする場合は、下り(外向き)ルールを構成する必要があります。

このドキュメントは、Assured Open Source Software のプレミアム ティアにのみ適用されます。

詳細については、下り(外向き)ポリシーの構成をご覧ください。

始める前に

  1. 組織レベルで VPC Service Controls の構成に必要なロールがあることを確認します。

  2. 次の情報を把握しておいてください。

Assured OSS リポジトリからバイナリをダウンロードする際の下り(外向き)ルールを構成する

Artifact Registry リポジトリに対してこのタスクを完了します。

次の下り(外向き)ルールを構成します。

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

次のように置き換えます。

  • ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。

  • ARTIFACT_REGISTRY_EMAIL_ADDRESS: Artifact Registry サービス エージェントのメールアドレス。

  • OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: オープンソース パッケージへのアクセスが必要な他のサービス アカウントのメールアドレス。

  • USER_GROUP: オープンソース パッケージへのアクセスが必要なグループ。たとえば、group:my-group@example.comuser:alex@example.com です。

Assured OSS バケットからセキュリティ メタデータにアクセスする際の下り(外向き)ルールを構成する

Assured OSS の設定に使用したユーザー アカウントとサービス アカウントに対して、このタスクを完了します。

次の下り(外向き)ルールを構成します。

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

次のように置き換えます。

  • ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。

  • ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS の設定に使用したユーザー アカウントのメールアドレス。

Pub/Sub 通知を設定するときに下り(外向き)ルールを構成する

このタスクを完了して、Assured OSS の Pub/Sub 通知を設定します。

次の下り(外向き)ルールを作成します。

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

次のように置き換えます。

  • ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。

  • ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS の設定に使用したユーザー アカウントのメールアドレス。

サブスクリプションを構成したら、この下り(外向き)ルールを削除できます。

次のステップ