Permitir que Detección de Amenazas en VMs acceda a los perímetros de Controles de Servicio de VPC

En este documento se describe cómo añadir reglas de entrada y salida para permitir que Virtual Machine Threat Detection analice las máquinas virtuales de tus perímetros de Controles de Servicio de VPC. Realiza esta tarea si tu organización usa Controles de Servicio de VPC para restringir los servicios de los proyectos que quieres que analice Detección de amenazas de VMs. Para obtener más información sobre VM Threat Detection, consulta el resumen de VM Threat Detection.

Antes de empezar

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

  5. En la lista Selecciona un rol, elige un rol.
  6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
  7. Haz clic en Guardar.

    8. Crear las reglas de salida y de entrada

    Para permitir que Detección de amenazas en VMs analice las VMs de los perímetros de Controles de Servicio de VPC, añade las reglas de salida y entrada necesarias en esos perímetros. Sigue estos pasos para cada perímetro que quieras que analice Detección de amenazas de VMs.

    Para obtener más información, consulta el artículo Actualizar las políticas de entrada y salida de un perímetro de servicio de la documentación de Controles de Servicio de VPC.

    Consola

    1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

      Ir a Controles de Servicio de VPC

    2. Selecciona tu organización o proyecto.
    3. Si has seleccionado una organización, haz clic en Seleccionar una política de acceso y, a continuación, selecciona la política de acceso asociada al perímetro que quieras actualizar.

    4. Haz clic en el nombre del perímetro que quieras actualizar.

      Para encontrar el perímetro de servicio que quieres modificar, puedes consultar tus registros para ver las entradas que muestran infracciones de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, comprueba el campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Haz clic en Editar perímetro.
    6. Haz clic en Política de salida.
    7. Haz clic en Añadir una regla de salida.

    8. En la sección DE, define los siguientes detalles:

      1. En Identidad, selecciona Seleccionar identidades y grupos.
      2. Haz clic en Añadir identidades.

      3. Introduce la dirección de correo del agente del servicio del Centro de Seguridad. La dirección del agente de servicio tiene el siguiente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Sustituye ORGANIZATION_ID por el ID de tu organización.

      4. Selecciona el agente de servicio o pulsa INTRO y, a continuación, haz clic en Añadir identidades.

    9. En la sección PARA, indica los siguientes detalles:

      1. En Proyecto, selecciona Todos los proyectos.
      2. En Roles de operaciones o de gestión de identidades y accesos, selecciona Seleccionar operaciones.

      3. Haz clic en Añadir operaciones y, a continuación, añade las siguientes operaciones:

        • Añade el servicio compute.googleapis.com.
          1. Haz clic en Seleccionar métodos.

          2. Selecciona el método DisksService.Insert.

          3. Haz clic en Añadir métodos seleccionados.
    10. Haz clic en Política de entrada.
    11. Haz clic en Añadir una regla de entrada.

    12. En la sección DE, define los siguientes detalles:

      1. En Identidad, selecciona Seleccionar identidades y grupos.
      2. Haz clic en Añadir identidades.

      3. Introduce la dirección de correo del agente del servicio del Centro de Seguridad. La dirección del agente de servicio tiene el siguiente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Sustituye ORGANIZATION_ID por el ID de tu organización.

      4. Selecciona el agente de servicio o pulsa INTRO y, a continuación, haz clic en Añadir identidades.
      5. En Fuentes, selecciona Todas las fuentes.

    13. En la sección PARA, indica los siguientes detalles:

      1. En Proyecto, selecciona Todos los proyectos.
      2. En Roles de operaciones o de gestión de identidades y accesos, selecciona Seleccionar operaciones.

      3. Haz clic en Añadir operaciones y, a continuación, añade las siguientes operaciones:

        • Añade el servicio compute.googleapis.com.
          1. Haz clic en Seleccionar métodos.

          2. Selecciona los siguientes métodos:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. Haz clic en Añadir métodos seleccionados.
    14. Haz clic en Guardar.

    gcloud

    1. Si aún no se ha definido un proyecto de cuota, hazlo. Elige un proyecto que tenga habilitada la API Access Context Manager. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Sustituye QUOTA_PROJECT_ID por el ID del proyecto que quieras usar para la facturación y la cuota.

    2. Crea un archivo llamado egress-rule.yaml con el siguiente contenido:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      Sustituye ORGANIZATION_ID por el ID de tu organización.

    3. Crea un archivo llamado ingress-rule.yaml con el siguiente contenido:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      Sustituye ORGANIZATION_ID por el ID de tu organización.

    4. Añade la regla de salida al perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      Haz los cambios siguientes:

      • PERIMETER_NAME: el nombre del perímetro. Por ejemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Para encontrar el perímetro de servicio que quieres modificar, puedes consultar tus registros para ver las entradas que muestran infracciones de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, comprueba el campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. Añade la regla de entrada al perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Haz los cambios siguientes:

      • PERIMETER_NAME: el nombre del perímetro. Por ejemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Para encontrar el perímetro de servicio que quieres modificar, puedes consultar tus registros para ver las entradas que muestran infracciones de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, comprueba el campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Consulta más información sobre las reglas de entrada y salida.

    Siguientes pasos