Se você ativar o Assured Open Source Software (Assured OSS) em um perímetro de serviço do VPC Service Controls, será necessário configurar regras de saída.
Este documento se aplica somente ao nível premium do Assured Open Source Software.
Para mais informações, consulte Como configurar políticas de saída.
Antes de começar
Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.
Confira se você tem as seguintes informações:
- A conta de serviço que você usou para configurar o Assured OSS.
- O agente de serviço do Artifact Registry que foi criado automaticamente quando você configurou o Assured OSS.
- A conta de usuário que configurou o Assured OSS.
Configurar a regra de saída ao fazer o download de binários dos repositórios do Assured OSS
Conclua essa tarefa para seus repositórios do Artifact Registry.
Configure a seguinte regra de saída:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Substitua:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço especificada ao configurar o Assured OSS.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: o endereço de e-mail do agente de serviço do Artifact Registry.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: os endereços de e-mail de outras contas de serviço que precisam de acesso aos pacotes de código aberto.
USER_GROUP: os grupos que precisam de acesso aos pacotes de código aberto. Por exemplo,
group:my-group@example.comouuser:alex@example.com.
Configure a regra de saída ao acessar metadados de segurança do bucket do Assured OSS
Conclua esta tarefa para a conta de usuário e a conta de serviço que você usou para configurar o Assured OSS.
Configure a seguinte regra de saída:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Substitua:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço especificada ao configurar o Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: o endereço de e-mail da conta de usuário que você usou para configurar o Assured OSS.
Configure a regra de saída ao configurar as notificações do Pub/Sub
Conclua esta tarefa para configurar notificações do Pub/Sub para o Assured OSS.
Crie a seguinte regra de saída:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Substitua:
ASSURED_OSS_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço especificada ao configurar o Assured OSS.
ASSURED_OSS_USER_EMAIL_ADDRESS: o endereço de e-mail da conta de usuário que você usou para configurar o Assured OSS.
Depois de configurar a assinatura, você pode remover essa regra de saída.
A seguir
Saiba mais sobre como configurar políticas de saída.