本文档仅适用于“可信开源软件”的高级层级。
如需了解详情,请参阅配置出站政策。
准备工作
确保您在组织级别具有配置 VPC Service Controls 所需的角色。
请确保您了解以下信息:
- 您用于设置 Assured OSS 的服务账号。
- 在您设置 Assured OSS 时自动创建的 Artifact Registry 服务代理。
- 设置 Assured OSS 的用户账号。
从 Assured OSS 代码库下载二进制文件时配置出站规则
请为您的 Artifact Registry 代码库完成此任务。
配置以下出站规则:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
替换以下内容:
ASSURED_OSS_EMAIL_ADDRESS:您在设置 Assured OSS 时指定的服务账号的电子邮件地址。
ARTIFACT_REGISTRY_EMAIL_ADDRESS:Artifact Registry 服务代理的电子邮件地址。
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS:需要访问开源软件包的其他服务账号的电子邮件地址。
USER_GROUP:需要访问开源软件包的群组。例如
group:my-group@example.com或user:alex@example.com。
在从 Assured OSS 存储分区访问安全元数据时配置出站规则
针对您用于设置 Assured OSS 的用户账号和服务账号完成此任务。
配置以下出站规则:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
替换以下内容:
ASSURED_OSS_EMAIL_ADDRESS:您在设置 Assured OSS 时指定的服务账号的电子邮件地址。
ASSURED_OSS_USER_EMAIL_ADDRESS:您用于设置 Assured OSS 的用户账号的电子邮件地址。
在设置 Pub/Sub 通知时配置出站规则
完成此任务可为“有保证的 OSS”设置 Pub/Sub 通知。
创建以下出站规则:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
替换以下内容:
ASSURED_OSS_EMAIL_ADDRESS:您在设置 Assured OSS 时指定的服务账号的电子邮件地址。
ASSURED_OSS_USER_EMAIL_ADDRESS:您用于设置 Assured OSS 的用户账号的电子邮件地址。
配置订阅后,您可以移除此出站规则。