Permitir que Event Threat Detection acceda a los perímetros de Controles de Servicio de VPC

En este documento se describe cómo añadir reglas de entrada para permitir que Event Threat Detection monitorice los flujos de registro en Security Command Center dentro de los perímetros de los controles de servicios de VPC. Realiza esta tarea si tu organización usa Controles de Servicio de VPC para restringir los servicios de los proyectos que quieres que monitorice Event Threat Detection. Para obtener más información sobre Event Threat Detection, consulta la información general sobre Event Threat Detection.

Antes de empezar

Make sure that you have the following role or roles on the organization: Cloud Asset Service Agent (roles/cloudasset.serviceAgent).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

  5. En la lista Selecciona un rol, elige un rol.
  6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
  7. Haz clic en Guardar.

    8. Crear las reglas de entrada

    Para permitir que Event Threat Detection monitorice los flujos de registro en Security Command Center dentro de los perímetros de controles del servicio de VPC, añade las reglas de entrada necesarias en esos perímetros. Sigue estos pasos con cada perímetro que quieras que monitorice Event Threat Detection.

    Para obtener más información, consulta el artículo Actualizar las políticas de entrada y salida de un perímetro de servicio de la documentación de Controles de Servicio de VPC.

    Consola

    1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

      Ir a Controles de Servicio de VPC

    2. Selecciona tu organización o proyecto.
    3. Si has seleccionado una organización, haz clic en Seleccionar una política de acceso y, a continuación, selecciona la política de acceso asociada al perímetro que quieras actualizar.

    4. Haz clic en el nombre del perímetro que quieras actualizar.

      Para encontrar el perímetro de servicio que quieres modificar, puedes consultar tus registros para ver las entradas que muestran infracciones de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, comprueba el campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Haz clic en Editar perímetro.
    6. Haz clic en Política de entrada.
    7. Haz clic en Añadir una regla de entrada.

    8. En la sección DE, define los siguientes detalles:

      1. En Identidad, selecciona Seleccionar identidades y grupos.
      2. Haz clic en Añadir identidades.

      3. Introduce la dirección de correo del agente del servicio del Centro de Seguridad. La dirección del agente de servicio tiene el siguiente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Sustituye ORGANIZATION_ID por el ID de tu organización.

      4. Selecciona el agente de servicio o pulsa INTRO y, a continuación, haz clic en Añadir identidades.
      5. En Fuentes, selecciona Todas las fuentes.

    9. En la sección PARA, indica los siguientes detalles:

      1. En Proyecto, selecciona Todos los proyectos.
      2. En Roles de operaciones o de gestión de identidades y accesos, selecciona Seleccionar operaciones.

      3. Haz clic en Añadir operaciones y, a continuación, añade las siguientes operaciones:

        • Añade el servicio cloudasset.googleapis.com.
          1. Haz clic en Todos los métodos.
          2. Haz clic en Añadir todos los métodos.
    10. Haz clic en Guardar.

    gcloud

    1. Si aún no se ha definido un proyecto de cuota, hazlo. Elige un proyecto que tenga habilitada la API Access Context Manager. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Sustituye QUOTA_PROJECT_ID por el ID del proyecto que quieras usar para la facturación y la cuota.

    2. Crea un archivo llamado ingress-rule.yaml con el siguiente contenido:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

      Sustituye ORGANIZATION_ID por el ID de tu organización.

    3. Añade la regla de entrada al perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Haz los cambios siguientes:

      • PERIMETER_NAME: el nombre del perímetro. Por ejemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Para encontrar el perímetro de servicio que quieres modificar, puedes consultar tus registros para ver las entradas que muestran infracciones de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, comprueba el campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Consulta más información sobre las reglas de entrada y salida.

    Siguientes pasos