为 VPC Service Controls 配置 Assured OSS 支持

如果您在 VPC Service Controls 服务边界内启用 Assured Open Source Software (Assured OSS),则必须配置出站流量规则。

本文档仅适用于 Assured Open Source Software 的高级层级。

如需了解详情,请参阅配置出站政策

准备工作

  1. 确保您拥有在组织级层配置 VPC Service Controls 所需的角色

  2. 请确保您了解以下信息:

    • 您用于设置 Assured OSS 的服务账号。
    • 设置 Assured OSS 时自动创建的 Artifact Registry 服务代理
    • 设置 Assured OSS 的用户账号。

在从 Assured OSS 代码库下载二进制文件时配置出站规则

为您的 Artifact Registry 代码库完成此任务。

配置以下出站规则:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

替换以下内容:

  • ASSURED_OSS_EMAIL_ADDRESS:您在设置 Assured OSS 时指定的服务账号的电子邮件地址。

  • ARTIFACT_REGISTRY_EMAIL_ADDRESS:Artifact Registry 服务代理的电子邮件地址。

  • OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS:需要访问开源软件包的其他服务账号的电子邮件地址。

  • USER_GROUP:需要访问开源软件包的群组。例如 group:my-group@example.comuser:alex@example.com

从 Assured OSS 存储桶访问安全元数据时,配置出站流量规则

请针对您用于设置 Assured OSS 的用户账号和服务账号完成此任务。

配置以下出站规则:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

替换以下内容:

  • ASSURED_OSS_EMAIL_ADDRESS:您在设置 Assured OSS 时指定的服务账号的电子邮件地址。

  • ASSURED_OSS_USER_EMAIL_ADDRESS:您用于设置 Assured OSS 的用户账号的电子邮件地址。

设置 Pub/Sub 通知时配置出站规则

完成此任务可为 Assured OSS 设置 Pub/Sub 通知

创建以下出站规则:

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

替换以下内容:

  • ASSURED_OSS_EMAIL_ADDRESS:您在设置 Assured OSS 时指定的服务账号的电子邮件地址。

  • ASSURED_OSS_USER_EMAIL_ADDRESS:您用于设置 Assured OSS 的用户账号的电子邮件地址。

配置订阅后,您可以移除此出站规则。

后续步骤