Mengizinkan Deteksi Ancaman VM mengakses perimeter Kontrol Layanan VPC

Dokumen ini menjelaskan cara menambahkan aturan masuk dan keluar untuk mengizinkan Virtual Machine Threat Detection memindai VM di perimeter Kontrol Layanan VPC Anda. Lakukan tugas ini jika organisasi Anda menggunakan Kontrol Layanan VPC untuk membatasi layanan dalam project yang ingin Anda pindai dengan VM Threat Detection. Untuk informasi selengkapnya tentang VM Threat Detection, lihat ringkasan VM Threat Detection.

Sebelum memulai

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.

  4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

    8. Membuat aturan keluar dan masuk

    Untuk mengizinkan Deteksi Ancaman VM memindai VM di perimeter Kontrol Layanan VPC, tambahkan aturan keluar dan masuk yang diperlukan di perimeter tersebut. Lakukan langkah-langkah ini untuk setiap perimeter yang ingin Anda pindai dengan VM Threat Detection.

    Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan traffic masuk dan keluar untuk perimeter layanan dalam dokumentasi Kontrol Layanan VPC.

    Konsol

    1. Di konsol Google Cloud, buka halaman VPC Service Controls.

      Buka Kontrol Layanan VPC

    2. Pilih organisasi atau project Anda.

    3. Jika Anda memilih organisasi, klik Select an access policy, lalu pilih kebijakan akses yang terkait dengan perimeter yang ingin diperbarui.

    4. Klik judul perimeter yang ingin diperbarui.

    5. Klik Edit perimeter.

    6. Klik Egress Policy.

    7. Klik Tambahkan Aturan.

    8. Di bagian Atribut FROM klien API, tetapkan kolom sebagai berikut:

      1. Untuk Identity, pilih Select Identities & Groups.
      2. Untuk Tambahkan Akun Pengguna/Layanan, masukkan nama agen layanan Pusat Keamanan. Nama agen layanan memiliki format berikut:
      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    9. Di bagian Atribut TO layanan/resource GCP, tetapkan kolom sebagai berikut:

      1. Untuk Project, pilih All projects.
      2. Untuk Layanan, pilih Layanan yang dipilih, lalu pilih layanan Compute Engine API.
      3. Untuk Metode, pilih Metode yang dipilih, lalu pilih metode DisksService.Insert.

    10. Klik Kebijakan Ingress.

    11. Klik Tambahkan Aturan.

    12. Di bagian Atribut FROM klien API, tetapkan kolom sebagai berikut:

      1. Untuk Identity, pilih Select Identities & Groups.
      2. Untuk Tambahkan Akun Pengguna/Layanan, masukkan lagi nama agen layanan Security Center.
      3. Untuk Sumber, pilih Semua sumber.

    13. Di bagian Atribut TO layanan/resource GCP, tetapkan kolom sebagai berikut:

      1. Untuk Project, pilih All projects.
      2. Untuk Layanan, pilih Layanan yang dipilih, lalu pilih layanan Compute Engine API.

      3. Untuk Metode, pilih Metode yang dipilih, lalu pilih metode berikut:

        • DisksService.Insert
        • InstancesService.AggregatedList
        • InstancesService.List

    14. Klik Simpan.

    gcloud

    1. Jika project kuota belum ditetapkan, tetapkan project tersebut. Pilih project yang mengaktifkan Access Context Manager API.

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Ganti QUOTA_PROJECT_ID dengan ID project yang ingin Anda gunakan untuk penagihan dan kuota.

    2. Buat file bernama egress-rule.yaml dengan konten berikut:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - methodSelectors:
      - method: DisksService.Insert
      serviceName: compute.googleapis.com
    resources:
    - '*'

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    3. Buat file bernama ingress-rule.yaml dengan konten berikut:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
      serviceName: compute.googleapis.com
    resources:
    - '*'

    4. Tambahkan aturan keluar ke perimeter:

      gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS_RULE_FILENAME

      Ganti kode berikut:

      • PERIMETER_NAME: nama perimeter—misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter
      • EGRESS_RULE_FILENAME: nama file yang berisi aturan keluar

    5. Tambahkan aturan traffic masuk ke perimeter:

      gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS_RULE_FILENAME

      Ganti kode berikut:

      • PERIMETER_NAME: nama perimeter—misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter
      • INGRESS_RULE_FILENAME: nama file yang berisi aturan masuk

    Langkah selanjutnya