Activer les notifications de résultats pour Pub/Sub

Cette page explique comment activer les notifications de l'API Security Command Center.

Les notifications envoient des résultats et des mises à jour de résultats à un sujet Pub/Sub en quelques minutes. Les notifications de l'API Security Command Center incluent toutes les informations sur les résultats affichées par Security Command Center dans la console Google Cloud.

Vous pouvez directement associer des notifications Security Command Center dans Pub/Sub aux actions Cloud Run Functions. Pour obtenir des exemples de fonctions capables de réponse, d'enrichissement et de résolution, consultez le dépôt Open Source Security Command Center contenant le code Cloud Run Functions. Le dépôt contient des solutions permettant d'effectuer des actions automatisées sur les résultats de sécurité.

Vous pouvez également exporter les résultats vers BigQuery ou configurer les exportations continues pour Pub/Sub dans la console Google Cloud.

Avant de commencer

  1. Pour obtenir les autorisations nécessaires pour configurer les notifications de l'API Security Command Center, demandez à votre administrateur de vous accorder le rôles IAM suivants:

    Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

    Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

  2. Enable the Security Command Center API: 

    gcloud services enable securitycenter.googleapis.com

Résidence des données et notifications

Si la résidence des données est activée pour Security Command Center, les configurations qui définissent les exportations continues vers Pub/Sub (ressources notificationConfig) sont soumises au contrôle de la résidence des données et sont stockées dans votre emplacement Security Command Center.

Pour exporter les résultats d'un emplacement Security Command Center vers Pub/Sub, vous devez configurer l'exportation continue dans le même emplacement Security Command Center que les résultats.

Étant donné que les filtres utilisés dans les exportations continues peuvent contenir des données soumises à des contrôles de résidence, assurez-vous de spécifier l'emplacement approprié avant de les créer. Security Command Center ne limite pas l'emplacement dans lequel vous créez des exportations.

Les exportations continues ne sont stockées que dans l'emplacement de dans lequel elles ont été créées et ne peuvent pas être visualisées ni modifiées dans d'autres emplacements.

Une fois que vous avez créé une exportation continue, vous ne pouvez plus modifier son emplacement. Pour modifier le lieu, vous devez supprimer l'exportation continue et la recréer dans le nouvel emplacement.

Pour récupérer une exportation continue à l'aide d'appels d'API, vous devez spécifier l'emplacement dans le nom complet de la ressource de notificationConfig. Exemple :

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

De même, pour récupérer une exportation continue en utilisant dans la gcloud CLI, vous devez spécifier l'emplacement dans le nom de ressource complet de la configuration ou à l'aide de l'--locations . Exemple :

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

Configurer un sujet Pub/Sub

Dans cette tâche, vous allez créer le sujet Pub/Sub et vous y abonner auxquelles vous souhaitez envoyer des notifications.

Étape 1 : Configurer Pub/Sub

Pour configurer un sujet Pub/Sub et vous y abonner, procédez comme suit :

  1. Accédez à Google Cloud Console.

    Accédez à la console Google Cloud.

  2. Sélectionnez le projet dans lequel vous avez activé l'API Security Command Center.

  3. Cliquez sur Activer Cloud Shell.

  4. Facultatif : Pour créer un sujet Pub/Sub, exécutez la commande suivante :

    gcloud pubsub topics create TOPIC_ID

    Remplacez TOPIC_ID par un nom de sujet.

  5. Créez un abonnement associé au sujet :

    gcloud pubsub subscriptions create SUBSCRIPTION_ID --topic=TOPIC_ID

    Remplacez les éléments suivants :

    • SUBSCRIPTION_ID : ID de l'abonnement
    • TOPIC_ID : ID du sujet

Pour en savoir plus sur la configuration de Pub/Sub, consultez la page Gérer les sujets et les abonnements.

Étape 2: Attribuez un rôle sur le sujet Pub/Sub

Pour créer un NotificationConfig, vous devez disposer du rôle d'administrateur Pub/Sub (roles/pubsub.admin) sur le sujet Pub/Sub pour lequel vous avez créé un abonnement.

Pour accorder ce rôle, procédez comme suit :

  1. Accédez à Google Cloud Console.

    Accédez à Google Cloud Console.

  2. Sélectionnez le projet pour lequel vous avez activé l'API Security Command Center.

  3. Cliquez sur Activer Cloud Shell.

  4. Attribuez le rôle requis à votre compte Google sur le sujet Pub/Sub :

    gcloud pubsub topics add-iam-policy-binding \
    projects/PUBSUB_PROJECT/topics/TOPIC_ID \
    --member="user:GOOGLE_ACCOUNT" \
    --role="roles/pubsub.admin"

    Remplacez les éléments suivants :

    • PUBSUB_PROJECT : projet Google Cloud contenant votre sujet Pub/Sub
    • TOPIC_ID: ID du thème
    • GOOGLE_ACCOUNT : adresse e-mail de votre compte Google

Créer un paramètre NotificationConfig

Avant de créer un NotificationConfig, notez que chaque organisation peut avoir un nombre limité de fichiers NotificationConfig. Pour en savoir plus, consultez la page Quotas et limites.

L'objet NotificationConfig inclut un champ filter qui limite les notifications aux événements utiles. Ce champ accepte tous les filtres disponibles dans la section API Security Command Center findings.list .

Lorsque vous créez un NotificationConfig, vous spécifiez un parent pour le NotificationConfig de la hiérarchie des ressources Google Cloud, soit une organisation, un dossier ou un projet. Si vous devez récupérer, mettre à jour ou supprimer NotificationConfig plus tard, vous devez inclure l'ID numérique de organisation, dossier ou projet parent lorsque vous le référencez.

Pour créer l'NotificationConfig à l'aide du langage ou de la plate-forme de votre choix :

gcloud

gcloud scc notifications create NOTIFICATION_NAME \
--PARENT=PARENT_ID \
--location=LOCATION
--description="NOTIFICATION_DESCRIPTION" \
--pubsub-topic=PUBSUB_TOPIC \
--filter="FILTER"

Remplacez les éléments suivants :

  • NOTIFICATION_NAME: nom de la notification. Doit comporter entre 1 et 128 caractères alphanumériques des traits de soulignement ou des traits d'union.
  • PARENT: champ d'application de la hiérarchie des ressources auquel la notification s'applique, organization, folder ou project.
  • PARENT_ID : ID de l'organisation, du dossier ou du projet parent, au format organizations/123, folders/456 ou projects/789.
  • LOCATION: si la résidence des données est activée, spécifiez le Emplacement Security Command Center pour créer la notification. Le notificationConfig obtenu est stockée uniquement dans cet emplacement. Seuls les résultats émis dans cet emplacement sont envoyés à Pub/Sub.

Si la résidence des données n'est pas activée, spécifier l'indicateur --location crée la notification à l'aide de l'API Security Command Center v2, et la seule valeur valide pour l'indicateur est global. * NOTIFICATION_DESCRIPTION : description de la notification (1 024 caractères maximum). * PUBSUB_TOPIC : sujet Pub/Sub qui recevra les notifications. Il a le format suivant : projects/PROJECT_ID/topics/TOPIC. * FILTER: expression que vous définissez pour sélectionner les résultats sont envoyés à Pub/Sub. Par exemple, state=\"ACTIVE\".

Python

L'exemple suivant utilise l'API v1. Pour modifier l'exemple pour la version 2, remplacez v1 par v2 et ajoutez /locations/LOCATION au nom de la ressource.

Pour la plupart des ressources, ajoutez /locations/LOCATION au nom de la ressource après /PARENT/PARENT_ID, où "PARENT" correspond à organizations, folders, ou projects.

Pour les résultats, ajoutez /locations/LOCATION à la ressource nom après /sources/SOURCE_ID, où SOURCE_ID est l'identifiant Service Security Command Center à l'origine des résultats. 

def create_notification_config(parent_id, notification_config_id, pubsub_topic):
    """
    Args:
        parent_id: must be in one of the following formats:
            "organizations/{organization_id}"
            "projects/{project_id}"
            "folders/{folder_id}"
        notification_config_id: "your-config-id"
        pubsub_topic: "projects/{your-project-id}/topics/{your-topic-ic}"

    Ensure this ServiceAccount has the "pubsub.topics.setIamPolicy" permission on the new topic.
    """
    from google.cloud import securitycenter as securitycenter

    client = securitycenter.SecurityCenterClient()

    created_notification_config = client.create_notification_config(
        request={
            "parent": parent_id,
            "config_id": notification_config_id,
            "notification_config": {
                "description": "Notification for active findings",
                "pubsub_topic": pubsub_topic,
                "streaming_config": {"filter": 'state = "ACTIVE"'},
            },
        }
    )

    print(created_notification_config)

Java

L'exemple suivant utilise l'API v1. Pour modifier l'exemple pour la version 2, remplacez v1 par v2, puis ajoutez /locations/LOCATION au nom de la ressource.

Pour la plupart des ressources, ajoutez /locations/LOCATION au nom de la ressource après /PARENT/PARENT_ID, où "PARENT" correspond à organizations, folders, ou projects.

Pour les résultats, ajoutez /locations/LOCATION à la ressource nom après /sources/SOURCE_ID, où SOURCE_ID est l'identifiant Service Security Command Center à l'origine des résultats. 


import com.google.cloud.securitycenter.v1.CreateNotificationConfigRequest;
import com.google.cloud.securitycenter.v1.NotificationConfig;
import com.google.cloud.securitycenter.v1.NotificationConfig.StreamingConfig;
import com.google.cloud.securitycenter.v1.SecurityCenterClient;
import java.io.IOException;

public class CreateNotificationConfigSnippets {

  public static void main(String[] args) throws IOException {
    // parentId: must be in one of the following formats:
    //    "organizations/{organization_id}"
    //    "projects/{project_id}"
    //    "folders/{folder_id}"
    String parentId = String.format("organizations/%s", "ORG_ID");
    String notificationConfigId = "{config-id}";
    String projectId = "{your-project}";
    String topicName = "{your-topic}";

    createNotificationConfig(parentId, notificationConfigId, projectId, topicName);
  }

  // Crete a notification config.
  // Ensure the ServiceAccount has the "pubsub.topics.setIamPolicy" permission on the new topic.
  public static NotificationConfig createNotificationConfig(
      String parentId, String notificationConfigId, String projectId, String topicName)
      throws IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the "close" method on the client to safely clean up any remaining background resources.
    try (SecurityCenterClient client = SecurityCenterClient.create()) {

      // Ensure this ServiceAccount has the "pubsub.topics.setIamPolicy" permission on the topic.
      String pubsubTopic = String.format("projects/%s/topics/%s", projectId, topicName);

      CreateNotificationConfigRequest request =
          CreateNotificationConfigRequest.newBuilder()
              .setParent(parentId)
              .setConfigId(notificationConfigId)
              .setNotificationConfig(
                  NotificationConfig.newBuilder()
                      .setDescription("Java notification config")
                      .setPubsubTopic(pubsubTopic)
                      .setStreamingConfig(
                          StreamingConfig.newBuilder().setFilter("state = \"ACTIVE\"").build())
                      .build())
              .build();

      NotificationConfig response = client.createNotificationConfig(request);
      System.out.printf("Notification config was created: %s%n", response);
      return response;
    }
  }
}

Go

L'exemple suivant utilise l'API v1. Pour modifier l'exemple pour la version 2, remplacez v1 par v2 et ajoutez /locations/LOCATION au nom de la ressource.

Pour la plupart des ressources, ajoutez /locations/LOCATION au nom de la ressource après /PARENT/PARENT_ID, où "PARENT" correspond à organizations, folders, ou projects.

Pour les résultats, ajoutez /locations/LOCATION à la ressource nom après /sources/SOURCE_ID, où SOURCE_ID est l'identifiant Service Security Command Center à l'origine des résultats. 

import (
	"context"
	"fmt"
	"io"

	securitycenter "cloud.google.com/go/securitycenter/apiv1"
	"cloud.google.com/go/securitycenter/apiv1/securitycenterpb"
)

func createNotificationConfig(w io.Writer, orgID string, pubsubTopic string, notificationConfigID string) error {
	// orgID := "your-org-id"
	// pubsubTopic := "projects/{your-project}/topics/{your-topic}"
	// notificationConfigID := "your-config-id"

	ctx := context.Background()
	client, err := securitycenter.NewClient(ctx)

	if err != nil {
		return fmt.Errorf("securitycenter.NewClient: %w", err)
	}
	defer client.Close()

	req := &securitycenterpb.CreateNotificationConfigRequest{
		// Parent must be in one of the following formats:
		//		"organizations/{orgId}"
		//		"projects/{projectId}"
		//		"folders/{folderId}"
		Parent:   fmt.Sprintf("organizations/%s", orgID),
		ConfigId: notificationConfigID,
		NotificationConfig: &securitycenterpb.NotificationConfig{
			Description: "Go sample config",
			PubsubTopic: pubsubTopic,
			NotifyConfig: &securitycenterpb.NotificationConfig_StreamingConfig_{
				StreamingConfig: &securitycenterpb.NotificationConfig_StreamingConfig{
					Filter: `state = "ACTIVE"`,
				},
			},
		},
	}

	notificationConfig, err := client.CreateNotificationConfig(ctx, req)
	if err != nil {
		return fmt.Errorf("Failed to create notification config: %w", err)
	}
	fmt.Fprintln(w, "New NotificationConfig created: ", notificationConfig)

	return nil
}

Node.js

L'exemple suivant utilise l'API v1. Pour modifier l'exemple pour la version 2, remplacez v1 par v2 et ajoutez /locations/LOCATION au nom de la ressource.

Pour la plupart des ressources, ajoutez /locations/LOCATION au nom de la ressource après /PARENT/PARENT_ID, où "PARENT" correspond à organizations, folders, ou projects.

Pour les résultats, ajoutez /locations/LOCATION à la ressource nom après /sources/SOURCE_ID, où SOURCE_ID est l'identifiant Service Security Command Center à l'origine des résultats. 

// npm install '@google-cloud/security-center'
const {SecurityCenterClient} = require('@google-cloud/security-center');

const client = new SecurityCenterClient();

// parent: must be in one of the following formats:
//    `organizations/${organization_id}`
//    `projects/${project_id}`
//    `folders/${folder_id}`
// configId = "your-config-name";
// pubsubTopic = "projects/{your-project}/topics/{your-topic}";
// Ensure this Service Account has the "pubsub.topics.setIamPolicy" permission on this topic.
const parent = `organizations/${organizationId}`;

async function createNotificationConfig() {
  const [response] = await client.createNotificationConfig({
    parent: parent,
    configId: configId,
    notificationConfig: {
      description: 'Sample config for node.js',
      pubsubTopic: pubsubTopic,
      streamingConfig: {filter: 'state = "ACTIVE"'},
    },
  });
  console.log('Notification config creation succeeded: ', response);
}

createNotificationConfig();

PHP

L'exemple suivant utilise l'API v1. Pour modifier l'exemple pour la version 2, remplacez v1 par v2, puis ajoutez /locations/LOCATION au nom de la ressource.

Pour la plupart des ressources, ajoutez /locations/LOCATION au nom de la ressource après /PARENT/PARENT_ID, où "PARENT" correspond à organizations, folders, ou projects.

Pour les résultats, ajoutez /locations/LOCATION à la ressource nom après /sources/SOURCE_ID, où SOURCE_ID est l'identifiant Service Security Command Center à l'origine des résultats. 

use Google\Cloud\SecurityCenter\V1\Client\SecurityCenterClient;
use Google\Cloud\SecurityCenter\V1\CreateNotificationConfigRequest;
use Google\Cloud\SecurityCenter\V1\NotificationConfig;
use Google\Cloud\SecurityCenter\V1\NotificationConfig\StreamingConfig;

/**
 * @param string $organizationId        Your org ID
 * @param string $notificationConfigId  A unique identifier
 * @param string $projectId             Your Cloud Project ID
 * @param string $topicName             Your topic name
 */
function create_notification(
    string $organizationId,
    string $notificationConfigId,
    string $projectId,
    string $topicName
): void {
    $securityCenterClient = new SecurityCenterClient();
    // 'parent' must be in one of the following formats:
    //		"organizations/{orgId}"
    //		"projects/{projectId}"
    //		"folders/{folderId}"
    $parent = $securityCenterClient::organizationName($organizationId);
    $pubsubTopic = $securityCenterClient::topicName($projectId, $topicName);

    $streamingConfig = (new StreamingConfig())->setFilter('state = "ACTIVE"');
    $notificationConfig = (new NotificationConfig())
        ->setDescription('A sample notification config')
        ->setPubsubTopic($pubsubTopic)
        ->setStreamingConfig($streamingConfig);
    $createNotificationConfigRequest = (new CreateNotificationConfigRequest())
        ->setParent($parent)
        ->setConfigId($notificationConfigId)
        ->setNotificationConfig($notificationConfig);

    $response = $securityCenterClient->createNotificationConfig($createNotificationConfigRequest);
    printf('Notification config was created: %s' . PHP_EOL, $response->getName());
}

Ruby

L'exemple suivant utilise l'API v1. Pour modifier l'exemple pour la version 2, remplacez v1 par v2, puis ajoutez /locations/LOCATION au nom de la ressource.

Pour la plupart des ressources, ajoutez /locations/LOCATION au nom de la ressource après /PARENT/PARENT_ID, où PARENT est organizations, folders ou projects.

Pour les résultats, ajoutez /locations/LOCATION à la ressource nom après /sources/SOURCE_ID, où SOURCE_ID est l'identifiant Service Security Command Center à l'origine des résultats. 

require "google/cloud/security_center"

# Your organization id. e.g. for "organizations/123", this would be "123".
# org_id = "YOUR_ORGANZATION_ID"

# Your notification config id. e.g. for
# "organizations/123/notificationConfigs/my-config" this would be "my-config".
# config_id = "YOUR_CONFIG_ID"

# The PubSub topic where notifications will be published.
# pubsub_topic = "YOUR_TOPIC"

client = Google::Cloud::SecurityCenter.security_center

# You can also use 'project_id' or 'folder_id' as a parent.
# client.project_path project: project_id
# client.folder_path folder: folder_id
parent = client.organization_path organization: org_id

notification_config = {
  description:      "Sample config for Ruby",
  pubsub_topic:     pubsub_topic,
  streaming_config: { filter: 'state = "ACTIVE"' }
}

response = client.create_notification_config(
  parent:              parent,
  config_id:           config_id,
  notification_config: notification_config
)
puts "Created notification config #{config_id}: #{response}."

C#

L'exemple suivant utilise l'API v1. Pour modifier l'exemple pour la version 2, remplacez v1 par v2 et ajoutez /locations/LOCATION au nom de la ressource.

Pour la plupart des ressources, ajoutez /locations/LOCATION au nom de la ressource après /PARENT/PARENT_ID, où "PARENT" correspond à organizations, folders, ou projects.

Pour les résultats, ajoutez /locations/LOCATION à la ressource nom après /sources/SOURCE_ID, où SOURCE_ID est l'identifiant Service Security Command Center à l'origine des résultats. 


using Google.Api.Gax.ResourceNames;
using Google.Cloud.SecurityCenter.V1;
using System;

///<summary> Create NotificationConfig Snippet. </summary>
public class CreateNotificationConfigSnippets
{
    public static NotificationConfig CreateNotificationConfig(
        string organizationId, string notificationConfigId, string projectId, string topicName)
    {
        // You can also use 'projectId' or 'folderId' instead of the 'organizationId'.
        //      ProjectName projectName = new ProjectName(projectId);
        //      FolderName folderName = new FolderName(folderId);
        OrganizationName orgName = new OrganizationName(organizationId);
        TopicName pubsubTopic = new TopicName(projectId, topicName);

        SecurityCenterClient client = SecurityCenterClient.Create();
        CreateNotificationConfigRequest request = new CreateNotificationConfigRequest
        {
            ParentAsOrganizationName = orgName,
            ConfigId = notificationConfigId,
            NotificationConfig = new NotificationConfig
            {
                Description = ".Net notification config",
                PubsubTopicAsTopicName = pubsubTopic,
                StreamingConfig = new NotificationConfig.Types.StreamingConfig { Filter = "state = \"ACTIVE\"" }
            }
        };

        NotificationConfig response = client.CreateNotificationConfig(request);
        Console.WriteLine($"Notification config was created: {response}");
        return response;
    }
}

Les notifications sont maintenant publiées sur le thème Pub/Sub que vous avez spécifié.

Pour publier des notifications, un compte de service de la forme service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com est créé pour vous. Ce compte de service est créé lorsque vous créez votre premier objet NotificationConfig et se voit automatiquement attribuer le rôle securitycenter.notificationServiceAgent sur la stratégie IAM pour PUBSUB_TOPIC lors de la création de la configuration de notification. Ce Le rôle de compte de service est nécessaire pour que les notifications fonctionnent.

Accorder l'accès à un périmètre dans VPC Service Controls

Si vous utilisez VPC Service Controls et que votre sujet Pub/Sub fait partie d'un projet dans un périmètre de service, vous devez accorder l'accès aux projets afin de créer des notifications.

Pour accorder l'accès aux projets, créez des règles d'entrée et de sortie pour les comptes principaux. et projets permettant de créer des notifications. Les règles autorisent l'accès aux ressources protégées et permettent à Pub/Sub de vérifier que les utilisateurs disposent de l'autorisation setIamPolicy sur le sujet Pub/Sub.

Créer un objet NotificationConfig

Pour suivre la procédure décrite dans la section Créer un objet NotificationConfig, procédez comme suit :

  1. Accédez à la page "VPC Service Controls" dans Google Cloud Console.

    Accéder à VPC Service Controls

  2. Si nécessaire, sélectionnez votre organisation.

  3. Cliquez sur le nom du périmètre de service que vous souhaitez modifier.

    Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName : accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME.

  4. Cliquez sur Modifier le périmètre.

  5. Dans le menu de navigation, cliquez sur Règle d'entrée.

  6. Pour configurer des règles d'entrée pour les utilisateurs ou les comptes de service, utilisez les paramètres suivants :

    • Attributs "FROM" du client API :
      • Dans le menu déroulant Source, sélectionnez Toutes les sources.
      • Dans le menu déroulant Identités, choisissez Identités sélectionnées.
      • Cliquez sur Sélectionner, puis saisissez le principal utilisé pour appeler l'API Security Command Center.
    • Attributs "TO" des services/ressources Google Cloud :
      • Dans le menu déroulant Projet, choisissez Projets sélectionnés.
      • Cliquez sur Sélectionner, puis saisissez le projet contenant le sujet Pub/Sub.
      • Dans le menu déroulant Services, choisissez Services sélectionnés, puis API Cloud Pub/Sub.
      • Dans le menu déroulant Méthodes, choisissez Toutes les actions.

  7. Cliquez sur Enregistrer.

  8. Dans le menu de navigation, cliquez sur Règle de sortie.

  9. Cliquez sur Add Rule (Ajouter une règle).

  10. Pour configurer des règles de sortie pour les comptes utilisateur ou de service, saisissez les paramètres suivants :

    • Attributs "FROM" du client API :
      • Dans le menu déroulant Identités, choisissez Identités sélectionnées.
      • Cliquez sur Sélectionner, puis saisissez le principal utilisé pour appeler l'API Security Command Center.
    • Attributs "TO" des services/ressources Google Cloud :
      • Dans le menu déroulant Projet, choisissez Tous les projets.
      • Dans le menu déroulant Services, choisissez Sélectionner des services, puis API Cloud Pub/Sub.
      • Dans le menu déroulant Méthodes, choisissez Toutes les actions.

  11. Cliquez sur Enregistrer.

Créer une règle d'entrée pour l'objet NotificationConfig

Pour créer une règle d'entrée pour un objet NotificationConfig, procédez comme suit :

  1. Suivez les instructions de la section Créer un objet NotificationConfig.
  2. Ouvrez à nouveau le périmètre de service de la section précédente.
  3. Cliquez sur Règle d'entrée.
  4. Cliquez sur Add Rule (Ajouter une règle).
  5. Pour configurer la règle d'entrée du compte de service NotificationConfig que vous avez créé, saisissez les paramètres suivants :
    • Attributs "FROM" du client API :
      • Dans le menu déroulant Source, sélectionnez Toutes les sources.
      • Dans le menu déroulant Identités, choisissez Identités sélectionnées.
      • Cliquez sur Sélectionner, puis saisissez le nom du compte de service NotificationConfig : service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
    • Attributs "TO" des services/ressources GCP :
      • Dans le menu déroulant Projet, choisissez Projets sélectionnés.
      • Cliquez sur Sélectionner, puis sélectionnez le projet contenant le sujet Pub/Sub.
      • Dans le menu déroulant Services, choisissez Sélectionner des services, puis API Cloud Pub/Sub.
      • Dans le menu déroulant Méthodes, choisissez Toutes les actions.
  6. Dans le menu de navigation, cliquez sur Enregistrer.

Les projets, utilisateurs et comptes de service sélectionnés peuvent désormais accéder aux ressources protégées et créer des notifications.

Si vous avez suivi toutes les étapes de ce guide et que les notifications fonctionnent correctement, vous pouvez maintenant supprimer les éléments suivants :

  • Règle d'entrée pour le principal
  • Règle de sortie pour le compte principal

Ces règles n'étaient nécessaires que pour configurer l'objet NotificationConfig. Toutefois, pour que les notifications continuent de fonctionner, vous devez conserver la règle d'entrée pour NotificationConfig qui permet de publier des notifications dans votre sujet Pub/Sub derrière le périmètre de service.

Étape suivante