Este documento se aplica apenas ao nível premium do Assured Open Source Software.
Para mais informações, consulte Como configurar políticas de saída.
Antes de começar
Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.
Confira se você tem as seguintes informações:
- A conta de serviço usada para configurar o Assured OSS.
- O agente de serviço do Artifact Registry que foi criado automaticamente quando você configurou o Assured OSS.
- A conta de usuário que configurou o Assured OSS.
Configurar a regra de saída ao fazer o download de binários de repositórios do Assured OSS
Conclua esta tarefa para seus repositórios do Artifact Registry.
Configure a regra de saída a seguir:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Substitua:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço especificada ao configurar o Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: o endereço de e-mail do agente de serviço do Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: os endereços de e-mail de outras contas de serviço que exigem acesso aos pacotes de código aberto.
USER_GROUP: os grupos que exigem acesso aos pacotes de código aberto. Por exemplo,
group:my-group@example.comouuser:alex@example.com.
Configurar a regra de saída ao acessar metadados de segurança do bucket do Assured OSS
Conclua esta tarefa para a conta de usuário e a conta de serviço que você usou para configurar o Assured OSS.
Configure a regra de saída a seguir:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Substitua:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço especificada ao configurar o Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: o endereço de e-mail da conta de usuário usada para configurar o Assured OSS.
Configurar a regra de saída ao configurar notificações do Pub/Sub
Conclua esta tarefa para configurar as notificações do Pub/Sub para o Assured OSS.
Crie a seguinte regra de saída:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Substitua:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço especificada ao configurar o Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: o endereço de e-mail da conta de usuário usada para configurar o Assured OSS.
Depois de configurar a assinatura, você pode remover essa regra de saída.
A seguir
Saiba mais sobre como configurar políticas de saída.