このドキュメントは、Assured Open Source Software のプレミアム ティアにのみ適用されます。
詳細については、下り(外向き)ポリシーの構成をご覧ください。
始める前に
組織レベルで VPC Service Controls の構成に必要なロールがあることを確認します。
次の情報を把握しておいてください。
- Assured OSS の設定に使用したサービス アカウント。
- Assured OSS の設定時に自動的に作成された Artifact Registry サービス エージェント。
- Assured OSS を設定したユーザー アカウント。
Assured OSS リポジトリからバイナリをダウンロードする際の下り(外向き)ルールを構成する
Artifact Registry リポジトリに対してこのタスクを完了します。
次の下り(外向き)ルールを構成します。
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
次のように置き換えます。
ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。
ARTIFACT_REGISTRY_EMAIL_ADDRESS: Artifact Registry サービス エージェントのメールアドレス。
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: オープンソース パッケージへのアクセスが必要な他のサービス アカウントのメールアドレス。
USER_GROUP: オープンソース パッケージへのアクセスが必要なグループ。たとえば、
group:my-group@example.com
やuser:alex@example.com
です。
Assured OSS バケットからセキュリティ メタデータにアクセスする際の下り(外向き)ルールを構成する
Assured OSS の設定に使用したユーザー アカウントとサービス アカウントに対して、このタスクを完了します。
次の下り(外向き)ルールを構成します。
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
次のように置き換えます。
ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。
ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS の設定に使用したユーザー アカウントのメールアドレス。
Pub/Sub 通知を設定するときに下り(外向き)ルールを構成する
このタスクを完了して、Assured OSS の Pub/Sub 通知を設定します。
次の下り(外向き)ルールを作成します。
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
次のように置き換えます。
ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービス アカウントのメールアドレス。
ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS の設定に使用したユーザー アカウントのメールアドレス。
サブスクリプションを構成したら、この下り(外向き)ルールを削除できます。