이 문서에서는 Virtual Machine Threat Detection이 VPC 서비스 제어 경계 내의 VM을 검사할 수 있도록 인그레스 및 이그레스 규칙을 추가하는 방법을 설명합니다. 조직에서 VPC 서비스 제어를 사용하여 VM 위협 감지가 검사할 프로젝트의 서비스를 제한하는 경우 이 작업을 실행합니다. VM Threat Detection에 대한 자세한 내용은 VM Threat Detection 개요를 참고하세요.
시작하기 전에
Make sure that you have the following role or roles on the organization:
Access Context Manager Editor
(roles/accesscontextmanager.policyEditor).
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM으로 이동 - 조직을 선택합니다.
- 액세스 권한 부여를 클릭합니다.
-
새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.
- 역할 선택 목록에서 역할을 선택합니다.
- 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
- 저장을 클릭합니다.
Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.
조직 또는 프로젝트를 선택합니다.
조직을 선택한 경우 액세스 정책 선택을 클릭하고 업데이트하려는 경계와 연결된 액세스 정책을 선택합니다.
업데이트할 경계의 제목을 클릭합니다.
경계 수정을 클릭합니다.
이그레스 정책을 클릭합니다.
규칙 추가를 클릭합니다.
API 클라이언트의 FROM 속성 섹션에서 필드를 다음과 같이 설정합니다.
- ID에서 ID 및 그룹 선택을 선택합니다.
- 사용자/서비스 계정 추가에 Security Center 서비스 상담사의 이름을 입력합니다. 서비스 상담사의 이름 형식은 다음과 같습니다.
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comORGANIZATION_ID를 조직 ID로 바꿉니다.
GCP 서비스/리소스의 TO 속성 섹션에서 다음과 같이 필드를 설정합니다.
- 프로젝트에 모든 프로젝트를 선택합니다.
- 서비스에서 선택한 서비스를 선택한 다음 Compute Engine API 서비스를 선택합니다.
- 메서드에서 선택된 메서드를 선택한 다음 DisksService.Insert 메서드를 선택합니다.
인그레스 정책을 클릭합니다.
규칙 추가를 클릭합니다.
API 클라이언트의 FROM 속성 섹션에서 필드를 다음과 같이 설정합니다.
- ID에서 ID 및 그룹 선택을 선택합니다.
- 사용자/서비스 계정 추가에 보안 센터 서비스 에이전트의 이름을 다시 입력합니다.
- 소스에 모든 소스를 선택합니다.
GCP 서비스/리소스의 TO 속성 섹션에서 다음과 같이 필드를 설정합니다.
- 프로젝트에 모든 프로젝트를 선택합니다.
- 서비스에서 선택한 서비스를 선택한 다음 Compute Engine API 서비스를 선택합니다.
방법에서 선택된 메서드를 선택한 후 다음 메서드를 선택합니다.
- DisksService.Insert
- InstancesService.AggregatedList
- InstancesService.List
저장을 클릭합니다.
할당량 프로젝트가 아직 설정되지 않은 경우 설정합니다. Access Context Manager API가 사용 설정된 프로젝트를 선택합니다.
gcloud config set billing/quota_project QUOTA_PROJECT_IDQUOTA_PROJECT_ID를 결제 및 할당량에 사용할 프로젝트의 ID로 바꿉니다.
다음 콘텐츠로
egress-rule.yaml라는 파일을 만듭니다.- egressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com egressTo: operations: - methodSelectors: - method: DisksService.Insert serviceName: compute.googleapis.com resources: - '*'ORGANIZATION_ID를 조직 ID로 바꿉니다.
다음 콘텐츠로
ingress-rule.yaml라는 파일을 만듭니다.- ingressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com sources: - accessLevel: '*' ingressTo: operations: - methodSelectors: - method: DisksService.Insert - method: InstancesService.AggregatedList - method: InstancesService.List serviceName: compute.googleapis.com resources: - '*'경계에 이그레스 규칙을 추가합니다.
gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS_RULE_FILENAME다음을 바꿉니다.
- PERIMETER_NAME: 경계의 이름입니다(예:
accessPolicies/1234567890/servicePerimeters/example_perimeter). - EGRESS_RULE_FILENAME: 이그레스 규칙이 포함된 파일의 이름
- PERIMETER_NAME: 경계의 이름입니다(예:
경계에 인그레스 규칙을 추가합니다.
gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS_RULE_FILENAME다음을 바꿉니다.
- PERIMETER_NAME: 경계의 이름입니다(예:
accessPolicies/1234567890/servicePerimeters/example_perimeter). - INGRESS_RULE_FILENAME: 인그레스 규칙이 포함된 파일의 이름
- PERIMETER_NAME: 경계의 이름입니다(예:
- VM Threat Detection 사용 방법 알아보기
이그레스 및 인그레스 규칙 만들기
VM Threat Detection이 VPC 서비스 제어 경계 내의 VM을 검사하도록 허용하려면 해당 경계에 필요한 이그레스 및 인그레스 규칙을 추가합니다. VM Threat Detection에서 검사할 각 경계마다 이 단계를 수행합니다.
자세한 내용은 VPC 서비스 제어 문서의 서비스 경계의 인그레스 및 이그레스 정책 업데이트를 참고하세요.