Assured OSS-Unterstützung für VPC Service Controls konfigurieren

Wenn Sie Assured Open Source Software (Assured OSS) innerhalb eines VPC Service Controls-Dienstperimeters aktivieren, müssen Sie Regeln für ausgehenden Traffic konfigurieren.

Dieses Dokument gilt nur für die Premium-Stufe von Assured Open Source Software.

Weitere Informationen finden Sie unter Richtlinien für ausgehenden Traffic konfigurieren.

Hinweise

  1. Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.

  2. Achten Sie darauf, dass Sie die folgenden Informationen kennen:

    • Das Dienstkonto, das Sie zum Einrichten von Assured OSS verwendet haben.
    • Der Artifact Registry-Dienst-Agent, der automatisch erstellt wurde, als Sie Assured OSS eingerichtet haben.
    • Das Nutzerkonto, mit dem Assured OSS eingerichtet wurde.

Ausgangsregel beim Herunterladen von Binärdateien aus Assured OSS-Repositories konfigurieren

Führen Sie diese Aufgabe für Ihre Artifact Registry-Repositories aus.

Konfigurieren Sie die folgende Regel für ausgehenden Traffic:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

Ersetzen Sie Folgendes:

  • ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.

  • ARTIFACT_REGISTRY_EMAIL_ADDRESS: die E-Mail-Adresse des Artifact Registry-Dienst-Agents.

  • OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: die E-Mail-Adressen anderer Dienstkonten, die Zugriff auf die Open-Source-Pakete benötigen.

  • USER_GROUP: die Gruppen, die Zugriff auf die Open-Source-Pakete benötigen. Beispiel: group:my-group@example.com oder user:alex@example.com.

Regel für ausgehenden Traffic konfigurieren, wenn auf Sicherheitsmetadaten aus dem Assured OSS-Bucket zugegriffen wird

Führen Sie diese Aufgabe für das Nutzerkonto und das Dienstkonto aus, mit denen Sie Assured OSS eingerichtet haben.

Konfigurieren Sie die folgende Regel für ausgehenden Traffic:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

Ersetzen Sie Folgendes:

  • ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.

  • ASSURED_OSS_USER_EMAIL_ADDRESS: die E-Mail-Adresse des Nutzerkontos, mit dem Sie Assured OSS eingerichtet haben.

Ausgangsregel beim Einrichten von Pub/Sub-Benachrichtigungen konfigurieren

Führen Sie diese Aufgabe aus, um Pub/Sub-Benachrichtigungen für Assured OSS einzurichten.

Erstellen Sie die folgende Regel für ausgehenden Traffic:

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

Ersetzen Sie Folgendes:

  • ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.

  • ASSURED_OSS_USER_EMAIL_ADDRESS: die E-Mail-Adresse des Nutzerkontos, mit dem Sie Assured OSS eingerichtet haben.

Nachdem Sie das Abo konfiguriert haben, können Sie diese Egress-Regel entfernen.

Nächste Schritte