Si vous activez Assured Open Source Software (Assured OSS) dans un périmètre de service VPC Service Controls, vous devez configurer des règles de sortie.
Ce document ne s'applique qu'au niveau premium d'Assured Open Source Software.
Pour en savoir plus, consultez Configurer les règles de sortie.
Avant de commencer
Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.
Assurez-vous de connaître les informations suivantes :
- Le compte de service que vous avez utilisé pour configurer Assured OSS.
- L'agent de service Artifact Registry créé automatiquement lorsque vous avez configuré Assured OSS.
- Compte utilisateur qui a configuré Assured OSS.
Configurer la règle de sortie lors du téléchargement de binaires à partir de dépôts Assured OSS
Effectuez cette tâche pour vos dépôts Artifact Registry.
Configurez la règle de sortie suivante :
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Remplacez les éléments suivants :
ASSURED_OSS_EMAIL_ADDRESS : adresse e-mail du compte de service que vous avez spécifié lors de la configuration d'Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS : adresse e-mail de l'agent de service Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS : adresses e-mail des autres comptes de service qui ont besoin d'accéder aux packages Open Source.
USER_GROUP : groupes qui ont besoin d'accéder aux packages Open Source. par exemple,
group:my-group@example.comouuser:alex@example.com.
Configurer la règle de sortie lors de l'accès aux métadonnées de sécurité depuis le bucket Assured OSS
Effectuez cette tâche pour le compte utilisateur et le compte de service que vous avez utilisés pour configurer Assured OSS.
Configurez la règle de sortie suivante :
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Remplacez les éléments suivants :
ASSURED_OSS_EMAIL_ADDRESS : adresse e-mail du compte de service que vous avez spécifié lors de la configuration d'Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS : adresse e-mail du compte utilisateur que vous avez utilisé pour configurer Assured OSS.
Configurer la règle de sortie lors de la configuration des notifications Pub/Sub
Effectuez cette tâche pour configurer les notifications Pub/Sub pour Assured OSS.
Créez la règle de sortie suivante :
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Remplacez les éléments suivants :
ASSURED_OSS_EMAIL_ADDRESS : adresse e-mail du compte de service que vous avez spécifié lors de la configuration d'Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS : adresse e-mail du compte utilisateur que vous avez utilisé pour configurer Assured OSS.
Une fois l'abonnement configuré, vous pouvez supprimer cette règle de sortie.
Étapes suivantes
Découvrez comment configurer des règles de sortie.