為 VPC Service Controls 設定 Assured OSS 支援

如果您在 VPC Service Controls 服務範圍內啟用 Assured Open Source Software (Assured OSS),就必須設定輸出規則。

本文僅適用於 Assured Open Source Software 的進階層級。

詳情請參閱「設定輸出政策」。

事前準備

  1. 請確認您具備在機構層級設定 VPC Service Controls 的必要角色

  2. 請務必瞭解下列資訊:

從 Assured OSS 存放區下載二進位檔時,請設定輸出規則

為 Artifact Registry 存放區完成這項工作。

設定下列 Egress 規則:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

更改下列內容:

  • ASSURED_OSS_EMAIL_ADDRESS:設定 Assured OSS 時指定的服務帳戶電子郵件地址。

  • ARTIFACT_REGISTRY_EMAIL_ADDRESS:Artifact Registry 服務代理人的電子郵件地址。

  • OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS:需要存取開放原始碼套件的其他服務帳戶電子郵件地址。

  • USER_GROUP:需要存取開放原始碼套件的群組。例如 group:my-group@example.comuser:alex@example.com

從 Assured OSS 值區存取安全中繼資料時,請設定輸出規則

請為您用來設定 Assured OSS 的使用者帳戶和服務帳戶完成這項工作。

設定下列 Egress 規則:

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

更改下列內容:

  • ASSURED_OSS_EMAIL_ADDRESS:設定 Assured OSS 時指定的服務帳戶電子郵件地址。

  • ASSURED_OSS_USER_EMAIL_ADDRESS:您用來設定 Assured OSS 的使用者帳戶電子郵件地址。

設定 Pub/Sub 通知時,請設定輸出規則

完成這項工作,即可設定 Assured OSS 的 Pub/Sub 通知

建立下列 egress 規則:

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

更改下列內容:

  • ASSURED_OSS_EMAIL_ADDRESS:設定 Assured OSS 時指定的服務帳戶電子郵件地址。

  • ASSURED_OSS_USER_EMAIL_ADDRESS:您用來設定 Assured OSS 的使用者帳戶電子郵件地址。

設定訂閱項目後,即可移除這項輸出規則。

後續步驟