Ce document explique comment ajouter des règles d'entrée et de sortie pour autoriser Virtual Machine Threat Detection à analyser les VM dans vos périmètres VPC Service Controls. Effectuez cette tâche si votre organisation utilise VPC Service Controls pour restreindre les services dans les projets que vous souhaitez analyser avec la détection des menaces sur les VM. Pour en savoir plus sur VM Threat Detection, consultez la page Présentation de VM Threat Detection.
Avant de commencer
Make sure that you have the following role or roles on the organization:
Access Context Manager Editor
(roles/accesscontextmanager.policyEditor).
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Accéder à IAM - Sélectionnez l'organisation.
- Cliquez sur Accorder l'accès.
-
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.
- Dans la liste Sélectionner un rôle, sélectionnez un rôle.
- Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
- Cliquez sur Enregistrer.
Dans Google Cloud Console, accédez à la page VPC Service Controls.
Sélectionnez votre organisation ou votre projet.
Si vous avez sélectionné une organisation, cliquez sur Sélectionner une règle d'accès, puis sélectionnez la règle d'accès associée au périmètre que vous souhaitez mettre à jour.
Cliquez sur le titre du périmètre que vous souhaitez mettre à jour.
Cliquez sur Modifier le périmètre.
Cliquez sur Règle de sortie.
Cliquez sur Ajouter une règle.
Dans la section Attributs "FROM" du client API, définissez les champs comme suit:
- Pour Identité, sélectionnez Sélectionner des identités et des groupes.
- Dans le champ Ajouter un utilisateur/compte de service, saisissez le nom de l'agent de service Security Center. Le nom de l'agent de service a le format suivant:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comRemplacez ORGANIZATION_ID par votre ID d'organisation.
Dans la section Attributs "TO" des services/ressources GCP, définissez les champs comme suit:
- Pour Projet, sélectionnez Tous les projets.
- Pour Services, sélectionnez Services sélectionnés, puis le service API Compute Engine.
- Dans Méthodes, sélectionnez Méthode sélectionnée, puis la méthode DisksService.Insert.
Cliquez sur Règle d'entrée.
Cliquez sur Ajouter une règle.
Dans la section Attributs "FROM" du client API, définissez les champs comme suit:
- Pour Identité, sélectionnez Sélectionner des identités et des groupes.
- Dans Ajouter un utilisateur/compte de service, saisissez à nouveau le nom de l'agent de service Security Center.
- Pour Source, sélectionnez Toutes les sources.
Dans la section Attributs "TO" des services/ressources GCP, définissez les champs comme suit:
- Pour Projet, sélectionnez Tous les projets.
- Pour Services, sélectionnez Services sélectionnés, puis le service API Compute Engine.
Dans Méthodes, sélectionnez Méthode sélectionnée, puis sélectionnez les méthodes suivantes:
- DisksService.Insert
- InstancesService.AggregatedList
- InstancesService.List
Cliquez sur Enregistrer.
Si un projet de quota n'est pas déjà défini, définissez-le. Choisissez un projet pour lequel l'API Access Context Manager est activée.
gcloud config set billing/quota_project QUOTA_PROJECT_IDRemplacez QUOTA_PROJECT_ID par l'ID du projet que vous souhaitez utiliser pour la facturation et le quota.
Créez un fichier nommé
egress-rule.yamlavec le contenu suivant :- egressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com egressTo: operations: - methodSelectors: - method: DisksService.Insert serviceName: compute.googleapis.com resources: - '*'Remplacez ORGANIZATION_ID par votre ID d'organisation.
Créez un fichier nommé
ingress-rule.yamlavec le contenu suivant :- ingressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com sources: - accessLevel: '*' ingressTo: operations: - methodSelectors: - method: DisksService.Insert - method: InstancesService.AggregatedList - method: InstancesService.List serviceName: compute.googleapis.com resources: - '*'Ajoutez la règle de sortie au périmètre:
gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS_RULE_FILENAMERemplacez les éléments suivants :
- PERIMETER_NAME: nom du périmètre (par exemple,
accessPolicies/1234567890/servicePerimeters/example_perimeter) - EGRESS_RULE_FILENAME: nom du fichier contenant la règle de sortie
- PERIMETER_NAME: nom du périmètre (par exemple,
Ajoutez la règle d'entrée au périmètre:
gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS_RULE_FILENAMERemplacez les éléments suivants :
- PERIMETER_NAME: nom du périmètre (par exemple,
accessPolicies/1234567890/servicePerimeters/example_perimeter) - INGRESS_RULE_FILENAME: nom du fichier contenant la règle d'entrée
- PERIMETER_NAME: nom du périmètre (par exemple,
- Découvrez comment utiliser VM Threat Detection.
Créer les règles d'entrée et de sortie
Pour autoriser VM Threat Detection à analyser les VM dans les périmètres VPC Service Controls, ajoutez les règles de sortie et d'entrée requises dans ces périmètres. Suivez cette procédure pour chaque périmètre que vous souhaitez analyser avec VM Threat Detection.
Pour en savoir plus, consultez la section Modifier les règles d'entrée et de sortie d'un périmètre de service dans la documentation de VPC Service Controls.