Wenn Sie Assured Open Source Software (Assured OSS) innerhalb eines VPC Service Controls-Dienstperimeters aktivieren, müssen Sie Regeln für ausgehenden Traffic konfigurieren.
Dieses Dokument gilt nur für die Premium-Stufe von Assured Open Source Software.
Weitere Informationen finden Sie unter Richtlinien für ausgehenden Traffic konfigurieren.
Hinweise
Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.
Achten Sie darauf, dass Sie die folgenden Informationen kennen:
- Das Dienstkonto, das Sie zum Einrichten von Assured OSS verwendet haben.
- Der Artifact Registry-Dienst-Agent, der automatisch erstellt wurde, als Sie Assured OSS eingerichtet haben.
- Das Nutzerkonto, mit dem Assured OSS eingerichtet wurde.
Ausgangsregel beim Herunterladen von Binärdateien aus Assured OSS-Repositories konfigurieren
Führen Sie diese Aufgabe für Ihre Artifact Registry-Repositories aus.
Konfigurieren Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: die E-Mail-Adresse des Artifact Registry-Dienst-Agents.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: die E-Mail-Adressen anderer Dienstkonten, die Zugriff auf die Open-Source-Pakete benötigen.
USER_GROUP: die Gruppen, die Zugriff auf die Open-Source-Pakete benötigen. Beispiel:
group:my-group@example.comoderuser:alex@example.com.
Regel für ausgehenden Traffic konfigurieren, wenn auf Sicherheitsmetadaten aus dem Assured OSS-Bucket zugegriffen wird
Führen Sie diese Aufgabe für das Nutzerkonto und das Dienstkonto aus, mit denen Sie Assured OSS eingerichtet haben.
Konfigurieren Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ASSURED_OSS_USER_EMAIL_ADDRESS: die E-Mail-Adresse des Nutzerkontos, mit dem Sie Assured OSS eingerichtet haben.
Ausgangsregel beim Einrichten von Pub/Sub-Benachrichtigungen konfigurieren
Führen Sie diese Aufgabe aus, um Pub/Sub-Benachrichtigungen für Assured OSS einzurichten.
Erstellen Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ASSURED_OSS_USER_EMAIL_ADDRESS: die E-Mail-Adresse des Nutzerkontos, mit dem Sie Assured OSS eingerichtet haben.
Nachdem Sie das Abo konfiguriert haben, können Sie diese Egress-Regel entfernen.