Usar o Compliance Manager com o VPC Service Controls

Se você ativar o Compliance Manager em um perímetro de serviço do VPC Service Controls, configure regras de saída e entrada.

É possível ajustar as seguintes regras de entrada e saída de exemplo para atender aos seus requisitos comerciais.

Para informações sobre limitações, consulte Produtos e limitações compatíveis.

Antes de começar

1. Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.

2. Para garantir o acesso aos recursos que existem na organização ou nas pastas, conceda o papel de administrador do Compliance Manager (roles/cloudsecuritycompliance.admin) no nível da organização.

3. Confira se você sabe o seguinte:

   • O endereço de e-mail do agente de serviço de compliance de segurança do Cloud (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

   • Os endereços de e-mail dos usuários da Central de compliance. Os usuários do Compliance Manager são as pessoas que administram o Compliance Manager e realizam atividades como auditorias.

4. Verifique se o agente de serviço de compliance de segurança na nuvem tem as permissões necessárias no perímetro para concluir uma auditoria. Para mais informações, consulte Auditar seu ambiente com o Gerenciador de compliance.

Adicionar regras de entrada e saída

1. Adicione a seguinte regra de entrada:

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: securitycenter.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Substitua USER_EMAIL_ADDRESS pelo endereço de e-mail do usuário do Gerenciador de compliance.

2. Adicione a seguinte regra de entrada para permitir que o Compliance Manager monitore e audite os recursos na sua organização Google Cloud :

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudsecuritycompliance.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Substitua USER_EMAIL_ADDRESS pelo endereço de e-mail do usuário do Gerenciador de compliance.

3. Configure a seguinte regra de entrada para executar auditorias em um projeto:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudasset.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Substitua:

   • USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: o endereço de e-mail do agente de serviço de compliance de segurança do Cloud.

4. Configure a seguinte regra de entrada para executar auditorias em uma pasta:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: "*"
       resources: "*"
   

   Substitua:

   • USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: o endereço de e-mail do agente de serviço de compliance de segurança do Cloud.

   É necessário ter acesso amplo para permitir a auditoria de todos os recursos nos projetos da pasta.

5. Configure a seguinte regra de entrada para executar uma auditoria quando o bucket do Cloud Storage registrado estiver dentro do perímetro:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
     resources: "*"
   

   Substitua:

   • USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: o endereço de e-mail do agente de serviço de compliance de segurança do Cloud.

6. Configure a seguinte regra de saída para executar uma auditoria quando o bucket do Cloud Storage registrado estiver dentro do perímetro:

   - egressFrom:
     identities:
       - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
         - user: USER_EMAIL_ADDRESS
       sources:
         - accessLevel: "*"
     egressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
       resources: "*"
   

   Substitua:

   • USER_EMAIL_ADDRESS: o endereço de e-mail do usuário do Compliance Manager.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: o endereço de e-mail do agente de serviço de compliance de segurança do Cloud.

A seguir

• Diagnostique problemas usando o solucionador de problemas do VPC Service Controls ou o analisador de violações do VPC Service Controls.