Se ativar o Assured Open Source Software (Assured OSS) num perímetro de serviço do VPC Service Controls, tem de configurar regras de saída.
Este documento aplica-se apenas ao nível premium do Assured Open Source Software.
Para mais informações, consulte o artigo Configurar políticas de saída.
Antes de começar
Certifique-se de que tem as funções necessárias para configurar os VPC Service Controls ao nível da organização.
Certifique-se de que conhece as seguintes informações:
- A conta de serviço que usou para configurar o Assured OSS.
- O agente de serviço do Artifact Registry que foi criado automaticamente quando configurou o Assured OSS.
- A conta de utilizador que configurou o OSS garantido.
Configure a regra de saída ao transferir ficheiros binários de repositórios de OSS assegurados
Conclua esta tarefa para os seus repositórios do Artifact Registry.
Configure a seguinte regra de saída:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/GoRead
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Substitua o seguinte:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de email da conta de serviço que especificou quando configurou o OSS assegurado.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: o endereço de email do agente de serviço do Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: os endereços de email de outras contas de serviço que requerem acesso aos pacotes de código aberto.
USER_GROUP: os grupos que requerem acesso aos pacotes de código aberto. Por exemplo,
group:my-group@example.comouuser:alex@example.com.
Configure a regra de saída ao aceder aos metadados de segurança do contentor do OSS assegurado
Conclua esta tarefa para a conta de utilizador e a conta de serviço que usou para configurar o Assured OSS.
Configure a seguinte regra de saída:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Substitua o seguinte:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de email da conta de serviço que especificou quando configurou o OSS assegurado.
ASSURED_OSS_USER_EMAIL_ADDRESS: o endereço de email da conta de utilizador que usou para configurar o Assured OSS.
Configure a regra de saída ao configurar as notificações do Pub/Sub
Conclua esta tarefa para configurar notificações do Pub/Sub para o Assured OSS.
Crie a seguinte regra de saída:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Substitua o seguinte:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de email da conta de serviço que especificou quando configurou o OSS assegurado.
ASSURED_OSS_USER_EMAIL_ADDRESS: o endereço de email da conta de utilizador que usou para configurar o Assured OSS.
Depois de configurar a subscrição, pode remover esta regra de saída.
O que se segue?
Saiba mais sobre a configuração de políticas de saída.