Questa pagina è stata tradotta dall'API Cloud Translation.

Consenti a VM Threat Detection di accedere ai perimetri dei Controlli di servizio VPC

Questo documento descrive come aggiungere regole di traffico in entrata e in uscita per consentire a Virtual Machine Threat Detection di eseguire la scansione delle VM nei perimetri di Controlli di servizio VPC. Esegui questa operazione se la tua organizzazione utilizza i Controlli di servizio VPC per limitare i servizi nei progetti che vuoi che vengano analizzati da VM Threat Detection. Per ulteriori informazioni su VM Threat Detection, consulta la panoramica di VM Threat Detection.

Prima di iniziare

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the organization.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Vai a IAM
Seleziona l'organizzazione.
Fai clic su Concedi accesso.
Nel campo Nuovi principali, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.
Nell'elenco Seleziona un ruolo, seleziona un ruolo.
Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
Fai clic su Salva.

Crea le regole per il traffico in uscita e in entrata

Per consentire a VM Threat Detection di eseguire la scansione delle VM nei perimetri di Controlli di servizio VPC, aggiungi le regole in entrata e in uscita richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che VM Threat Detection esamini.

Per ulteriori informazioni, consulta Aggiornare i criteri in entrata e in uscita per un perimetro di servizio nella documentazione di Controlli di servizio VPC.

Console

Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Seleziona la tua organizzazione o il tuo progetto.
Se hai selezionato un'organizzazione, fai clic su Seleziona un criterio di accesso e poi sul criterio di accesso associato al perimetro che vuoi aggiornare.
Fai clic sul titolo del perimetro da aggiornare.
Fai clic su Modifica perimetro.
Fai clic su Criterio in uscita.
Fai clic su Aggiungi regola.
Nella sezione Attributi FROM del client API, imposta i campi come segue:
1. In Identità, seleziona Seleziona identità e gruppi.
2. In Aggiungi account utente/di servizio, inserisci il nome dell'agente di servizio Security Center. Il nome dell'agente di servizio ha il seguente formato:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.
Nella sezione Attributi TO di servizi/risorse Google Cloud, imposta i campi come segue:
1. In Progetto, seleziona Tutti i progetti.
2. In Servizi, seleziona Servizi selezionati e poi il servizio API Compute Engine.
3. In Metodi, seleziona Metodo selezionato e poi il metodo DisksService.Insert.
Fai clic su Criterio in entrata.
Fai clic su Aggiungi regola.
Nella sezione Attributi FROM del client API, imposta i campi come segue:
1. In Identità, seleziona Seleziona identità e gruppi.
2. In Aggiungi account utente/di servizio, inserisci di nuovo il nome dell'agente di servizio Security Center.
3. In Origine, seleziona Tutte le origini.
Nella sezione Attributi TO di servizi/risorse Google Cloud, imposta i campi come segue:
1. In Progetto, seleziona Tutti i progetti.
2. In Servizi, seleziona Servizi selezionati e poi il servizio API Compute Engine.
3. In Metodi, seleziona Metodo selezionato e poi i seguenti metodi:
  - DisksService.Insert
  - InstancesService.AggregatedList
  - InstancesService.List
Fai clic su Salva.

gcloud

Se non è già impostato un progetto quota, impostalo. Scegli un progetto in cui è abilitata l'API Access Context Manager.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

Crea un file denominato egress-rule.yaml con i seguenti contenuti:

- egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - methodSelectors:
      - method: DisksService.Insert
      serviceName: compute.googleapis.com
    resources:
    - '*'

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Crea un file denominato ingress-rule.yaml con i seguenti contenuti:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
      serviceName: compute.googleapis.com
    resources:
    - '*'

Aggiungi la regola in uscita al perimetro:
```
gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS_RULE_FILENAME
```
Sostituisci quanto segue:
- PERIMETER_NAME: il nome del perimetro, ad esempio accessPolicies/1234567890/servicePerimeters/example_perimeter
- EGRESS_RULE_FILENAME: il nome del file che contiene la regola di uscita
Aggiungi la regola in entrata al perimetro:
```
gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS_RULE_FILENAME
```
Sostituisci quanto segue:
- PERIMETER_NAME: il nome del perimetro, ad esempio accessPolicies/1234567890/servicePerimeters/example_perimeter
- INGRESS_RULE_FILENAME: il nome del file che contiene la regola di ingresso

Passaggi successivi

Scopri come utilizzare VM Threat Detection.