このページは Cloud Translation API によって翻訳されました。

VPC Service Controls の Assured OSS サポートを構成する

VPC Service Controls サービス境界内で Assured Open Source Software（Assured OSS）を有効にする場合は、下り（外向き）ルールを構成する必要があります。

このドキュメントは、Assured Open Source Software のプレミアムティアにのみ適用されます。

詳細については、下り（外向き）ポリシーの構成をご覧ください。

始める前に

組織レベルで VPC Service Controls の構成に必要なロールがあることを確認します。
次の情報を把握しておいてください。
- Assured OSS の設定に使用したサービスアカウント。
- Assured OSS の設定時に自動的に作成された Artifact Registry サービスエージェント。
- Assured OSS を設定したユーザーアカウント。

Assured OSS リポジトリからバイナリをダウンロードする際の下り（外向き）ルールを構成する

Artifact Registry リポジトリに対してこのタスクを完了します。

次の下り（外向き）ルールを構成します。

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

次のように置き換えます。

ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービスアカウントのメールアドレス。
ARTIFACT_REGISTRY_EMAIL_ADDRESS: Artifact Registry サービスエージェントのメールアドレス。
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: オープンソースパッケージへのアクセスが必要な他のサービスアカウントのメールアドレス。
USER_GROUP: オープンソースパッケージへのアクセスが必要なグループ。たとえば、group:my-group@example.com や user:alex@example.com です。

Assured OSS バケットからセキュリティメタデータにアクセスする際の下り（外向き）ルールを構成する

Assured OSS の設定に使用したユーザーアカウントとサービスアカウントに対して、このタスクを完了します。

次の下り（外向き）ルールを構成します。

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

次のように置き換えます。

ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービスアカウントのメールアドレス。
ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS の設定に使用したユーザーアカウントのメールアドレス。

Pub/Sub 通知を設定するときに下り（外向き）ルールを構成する

このタスクを完了して、Assured OSS の Pub/Sub 通知を設定します。

次の下り（外向き）ルールを作成します。

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

次のように置き換えます。

ASSURED_OSS_EMAIL_ADDRESS: Assured OSS の設定時に指定したサービスアカウントのメールアドレス。
ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS の設定に使用したユーザーアカウントのメールアドレス。

サブスクリプションを構成したら、この下り（外向き）ルールを削除できます。

次のステップ

下り（外向き）ポリシーの構成の詳細を確認する。
VPC Service Controls で Security Command Center を有効にする。

VPC Service Controls の Assured OSS サポートを構成する

始める前に

Assured OSS リポジトリからバイナリをダウンロードする際の下り（外向き）ルールを構成する

Assured OSS バケットからセキュリティ メタデータにアクセスする際の下り（外向き）ルールを構成する

Pub/Sub 通知を設定するときに下り（外向き）ルールを構成する

次のステップ

Assured OSS バケットからセキュリティメタデータにアクセスする際の下り（外向き）ルールを構成する