Compliance Manager mit VPC Service Controls verwenden

Wenn Sie Compliance Manager innerhalb eines VPC Service Controls-Dienstperimeters aktivieren, müssen Sie Regeln für ein- und ausgehenden Traffic konfigurieren.

Sie können die folgenden Beispielregeln für eingehenden und ausgehenden Traffic an Ihre geschäftlichen Anforderungen anpassen.

Informationen zu Einschränkungen finden Sie unter Unterstützte Produkte und Einschränkungen.

Hinweise

1. Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.

2. Um den Zugriff auf Ressourcen in der Organisation oder in Ordnern zu gewährleisten, weisen Sie die Rolle „Compliance Manager Admin“ (roles/cloudsecuritycompliance.admin) auf Organisationsebene zu.

3. Achten Sie darauf, dass Sie Folgendes wissen:

   • Die E-Mail-Adresse für den Cloud Security Compliance-Dienst-Agenten (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

   • Die E‑Mail-Adressen der Compliance Manager-Nutzer. Compliance Manager-Nutzer sind die Personen, die Compliance Manager verwalten und Aktivitäten wie Audits durchführen.

4. Prüfen Sie, ob der Cloud Security Compliance-Dienst-Agent die erforderlichen Berechtigungen innerhalb des Perimeters hat, um ein Audit durchzuführen. Weitere Informationen finden Sie unter Umgebung mit Compliance Manager prüfen.

Regeln für ein- und ausgehenden Traffic hinzufügen

1. Fügen Sie die folgende Regel für eingehenden Traffic hinzu:

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: securitycenter.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Ersetzen Sie USER_EMAIL_ADDRESS durch die E-Mail-Adresse des Compliance Manager-Nutzers.

2. Fügen Sie die folgende Ingress-Regel hinzu, damit Compliance Manager die Ressourcen in Ihrer Google Cloud -Organisation überwachen und prüfen kann:

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudsecuritycompliance.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Ersetzen Sie USER_EMAIL_ADDRESS durch die E-Mail-Adresse des Compliance Manager-Nutzers.

3. Konfigurieren Sie die folgende Regel für eingehenden Traffic, um Audits für ein Projekt auszuführen:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudasset.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Ersetzen Sie Folgendes:

   • USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents.

4. Konfigurieren Sie die folgende Regel für eingehenden Traffic, um Audits für einen Ordner auszuführen:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: "*"
       resources: "*"
   

   Ersetzen Sie Folgendes:

   • USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents.

   Ein umfassender Zugriff ist erforderlich, um alle Ressourcen in den Projekten im Ordner prüfen zu können.

5. Konfigurieren Sie die folgende Regel für eingehenden Traffic, um eine Prüfung auszuführen, wenn sich der registrierte Cloud Storage-Bucket innerhalb des Perimeters befindet:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
     resources: "*"
   

   Ersetzen Sie Folgendes:

   • USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents.

6. Konfigurieren Sie die folgende Ausgangsregel, um eine Prüfung auszuführen, wenn sich der registrierte Cloud Storage-Bucket innerhalb des Perimeters befindet:

   - egressFrom:
     identities:
       - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
         - user: USER_EMAIL_ADDRESS
       sources:
         - accessLevel: "*"
     egressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
       resources: "*"
   

   Ersetzen Sie Folgendes:

   • USER_EMAIL_ADDRESS: die E-Mail-Adresse des Compliance Manager-Nutzers.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Die E-Mail-Adresse des Cloud Security Compliance-Dienst-Agents.

Nächste Schritte

• Fehlerdiagnose mithilfe der VPC Service Controls-Fehlerbehebung oder des VPC Service Controls-Verstoßanalysetools