Mengonfigurasi dukungan OSS Terjamin untuk Kontrol Layanan VPC

Jika Anda mengaktifkan Assured Open Source Software (Assured OSS) dalam perimeter layanan Kontrol Layanan VPC, Anda harus mengonfigurasi aturan traffic keluar.

Dokumen ini hanya berlaku untuk tingkat premium Assured Open Source Software.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kebijakan keluar.

Sebelum memulai

1. Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.

2. Pastikan Anda mengetahui informasi berikut:

   • Akun layanan yang Anda gunakan untuk menyiapkan Assured OSS.
   • Agen layanan Artifact Registry yang dibuat secara otomatis saat Anda menyiapkan Assured OSS.
   • Akun pengguna yang menyiapkan Assured OSS.

Mengonfigurasi aturan keluar saat mendownload biner dari repositori Assured OSS

Selesaikan tugas ini untuk repositori Artifact Registry Anda.

Konfigurasi aturan keluar berikut:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

Ganti kode berikut:

• ASSURED_OSS_EMAIL_ADDRESS: alamat email akun layanan yang Anda tentukan saat menyiapkan Assured OSS.

• ARTIFACT_REGISTRY_EMAIL_ADDRESS: alamat email agen layanan Artifact Registry.

• OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: alamat email akun layanan lain yang memerlukan akses ke paket open source.

• USER_GROUP: grup yang memerlukan akses ke paket open source. Misalnya, group:my-group@example.com atau user:alex@example.com.

Mengonfigurasi aturan keluar saat mengakses metadata keamanan dari bucket Assured OSS

Selesaikan tugas ini untuk akun pengguna dan akun layanan yang Anda gunakan untuk menyiapkan Assured OSS.

Konfigurasi aturan keluar berikut:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

Ganti kode berikut:

• ASSURED_OSS_EMAIL_ADDRESS: alamat email akun layanan yang Anda tentukan saat menyiapkan Assured OSS.

• ASSURED_OSS_USER_EMAIL_ADDRESS: alamat email akun pengguna yang Anda gunakan untuk menyiapkan Assured OSS.

Mengonfigurasi aturan keluar saat menyiapkan notifikasi Pub/Sub

Selesaikan tugas ini untuk menyiapkan notifikasi Pub/Sub untuk Assured OSS.

Buat aturan egress berikut:

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

Ganti kode berikut:

• ASSURED_OSS_EMAIL_ADDRESS: alamat email akun layanan yang Anda tentukan saat menyiapkan Assured OSS.

• ASSURED_OSS_USER_EMAIL_ADDRESS: alamat email akun pengguna yang Anda gunakan untuk menyiapkan Assured OSS.

Setelah mengonfigurasi langganan, Anda dapat menghapus aturan keluar ini.

Langkah berikutnya

• Pelajari lebih lanjut cara mengonfigurasi kebijakan traffic keluar.

• Aktifkan Security Command Center dengan Kontrol Layanan VPC.