이 문서는 Assured 오픈소스 소프트웨어의 프리미엄 등급에만 적용됩니다.
자세한 내용은 이그레스 정책 구성을 참고하세요.
시작하기 전에
조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
다음 정보를 알고 있어야 합니다.
- Assured OSS를 설정하는 데 사용한 서비스 계정입니다.
- Assured OSS를 설정할 때 자동으로 생성된 Artifact Registry 서비스 에이전트
- Assured OSS를 설정한 사용자 계정입니다.
Assured OSS 저장소에서 바이너리를 다운로드할 때 이그레스 규칙 구성
Artifact Registry 저장소에 대해 이 작업을 완료합니다.
다음 이그레스 규칙을 구성합니다.
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
다음을 바꿉니다.
ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: Artifact Registry 서비스 에이전트의 이메일 주소입니다.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: 오픈소스 패키지에 액세스해야 하는 다른 서비스 계정의 이메일 주소입니다.
USER_GROUP: 오픈소스 패키지에 액세스해야 하는 그룹입니다. 예를 들면
group:my-group@example.com
또는user:alex@example.com
입니다.
Assured OSS 버킷에서 보안 메타데이터에 액세스할 때 이그레스 규칙 구성
Assured OSS를 설정하는 데 사용한 사용자 계정과 서비스 계정에 대해 이 작업을 완료합니다.
다음 이그레스 규칙을 구성합니다.
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
다음을 바꿉니다.
ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.
ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS를 설정하는 데 사용한 사용자 계정의 이메일 주소입니다.
Pub/Sub 알림을 설정할 때 이그레스 규칙 구성
이 태스크를 완료하여 Assured OSS의 Pub/Sub 알림을 설정하세요.
다음과 같은 이그레스 규칙을 만듭니다.
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
다음을 바꿉니다.
ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.
ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS를 설정하는 데 사용한 사용자 계정의 이메일 주소입니다.
구독을 구성한 후 이 이그레스 규칙을 삭제할 수 있습니다.
다음 단계
이그레스 정책 구성에 대해 자세히 알아보세요.