VPC 서비스 제어를 위한 Assured OSS 지원 구성

VPC 서비스 제어 서비스 경계 내에서 Assured Open Source Software (Assured OSS)를 사용 설정하는 경우 이그레스 규칙을 구성해야 합니다.

이 문서는 Assured Open Source Software의 프리미엄 등급에만 적용됩니다.

자세한 내용은 이그레스 정책 구성을 참고하세요.

시작하기 전에

  1. 조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.

  2. 다음 정보를 알고 있어야 합니다.

    • Assured OSS를 설정하는 데 사용한 서비스 계정
    • Assured OSS를 설정할 때 자동으로 생성된 Artifact Registry 서비스 에이전트
    • Assured OSS를 설정한 사용자 계정입니다.

Assured OSS 저장소에서 바이너리를 다운로드할 때 이그레스 규칙 구성

Artifact Registry 저장소에 대해 이 작업을 완료합니다.

다음 이그레스 규칙을 구성합니다.

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

다음을 바꿉니다.

  • ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.

  • ARTIFACT_REGISTRY_EMAIL_ADDRESS: Artifact Registry 서비스 에이전트의 이메일 주소입니다.

  • OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: 오픈소스 패키지에 대한 액세스가 필요한 다른 서비스 계정의 이메일 주소입니다.

  • USER_GROUP: 오픈소스 패키지에 대한 액세스가 필요한 그룹입니다. 예를 들면 group:my-group@example.com 또는 user:alex@example.com입니다.

Assured OSS 버킷에서 보안 메타데이터에 액세스할 때 이그레스 규칙 구성

Assured OSS를 설정하는 데 사용한 사용자 계정 및 서비스 계정에 대해 이 작업을 완료합니다.

다음 이그레스 규칙을 구성합니다.

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

다음을 바꿉니다.

  • ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.

  • ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS를 설정하는 데 사용한 사용자 계정의 이메일 주소입니다.

Pub/Sub 알림 설정 시 이그레스 규칙 구성

이 작업을 완료하여 Assured OSS에 대한 Pub/Sub 알림을 설정합니다.

다음과 같은 이그레스 규칙을 만듭니다.

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

다음을 바꿉니다.

  • ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.

  • ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS를 설정하는 데 사용한 사용자 계정의 이메일 주소입니다.

구독을 구성한 후 이 이그레스 규칙을 삭제할 수 있습니다.

다음 단계