Nesta página, explicamos como ativar as notificações da API Security Command Center.
As notificações enviam descobertas e descobertas sobre um tópico do Pub/Sub em minutos. As notificações da API Security Command Center incluem todas as informações de descoberta exibidas pelo Security Command Center no console do Google Cloud.
É possível conectar as notificações do Security Command Center no Pub/Sub diretamente às ações das funções do Cloud Run. Para exemplos de funções que podem ajudar na resposta, no aprimoramento e na correção. Consulte o repositório de código aberto do código de funções do Cloud Run no Security Command Center. O repositório contém soluções para ajudar você a tomar ações automatizadas sobre as descobertas de segurança.
Também é possível exportar descobertas para o BigQuery, ou pode configurar exportações contínuas para o Pub/Sub no console do Google Cloud.
Antes de começar
Para isso, você precisa ter os seguintes papéis do Identity and Access Management (IAM):
- Administrador da Central de segurança (
roles/securitycenter.Admin
): para ativar as notificações da API Security Command Center - Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer
): para acessar o Security Command Center no Console do Google Cloud. - Para conceder papéis à conta de serviço de notificações ou à
conta da CLI gcloud no nível da organização,
da pasta ou do projeto, um dos seguintes papéis:
- Administrador da organização (
roles/resourcemanager.organizationAdmin
) - Administrador de pastas do IAM (
roles/resourcemanager.folderIamAdmin
) - Administrador de projetos do IAM (
roles/resourcemanager.projectIamAdmin
)
- Administrador da organização (
Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre Para papéis do Security Command Center, consulte Controle de acesso.
Como configurar notificações da API Security Command Center
Para configurar notificações, primeiro ative a API Security Command Center.
Como ativar a API Security Command Center
Para ativar a API Security Command Center, faça o seguinte:
Acesse a página "Biblioteca de APIs" no Console do Google Cloud.
Selecione o projeto em que você quer ativar a API de notificações.
Na caixa Pesquisa, digite
Security Command Center
e clique no Security Command Center nos resultados da pesquisa.Na página da API exibida, clique em Ativar.
A API Security Command Center está ativada no seu projeto. Em seguida, use a CLI gcloud ou as bibliotecas de cliente para inscrever-se em um tópico do Pub/Sub e configurar permissões.
Residência de dados e notificações
Se a residência dos dados
ativado para o Security Command Center, as configurações que definem
exportações contínuas para
O Pub/Sub (notificationConfig
recursos) está sujeito
controle de residência de dados e são armazenados
Local do Security Command Center.
Para exportar as descobertas em um local do Security Command Center para no Pub/Sub, é preciso configurar o fluxo contínuo e exportar no mesmo local do Security Command Center que as descobertas.
Como os filtros usados no fluxo contínuo as exportações podem conter dados sujeitos a controles de residência, especifique o local correto antes de criá-los. O Security Command Center não restringe o local que você cria exporta.
As exportações contínuas são armazenadas apenas no local em que são criados e não podem ser visualizados ou editados em outros locais.
Depois de criar uma exportação contínua, não é possível mudar a localização dele. Para mudar o local, exclua a exportação contínua e recriá-la no novo local.
Para recuperar uma exportação contínua usando chamadas de API,
você precisa especificar o local no nome completo do recurso do
notificationConfig
: Exemplo:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}
Da mesma forma, para recuperar uma exportação contínua usando
CLI gcloud, você precisa especificar o local
no nome completo do recurso da configuração ou pelo --locations
. Exemplo:
gcloud scc notifications describe myContinuousExport organizations/123 \ --location=locations/us
Como configurar um tópico do Pub/Sub
Nesta etapa, você cria e se inscreve no tópico do Pub/Sub para onde quer enviar notificações. Se você não precisa chamar a API de maneira programática, recomendamos os comandos da CLI gcloud.
gcloud
Para configurar o recurso de notificações da API Security Command Center usando a CLI gcloud, execute as seguintes etapas:
- Configure um tópico e uma assinatura do Pub/Sub.
- Configure as permissões da conta da CLI da gcloud.
Etapa 1: configurar o Pub/Sub
Para configurar e se inscrever em um tópico do Pub/Sub, faça o seguinte:
Acesse o console do Google Cloud.
Selecione o projeto para o qual você ativou a API Security Command Center.
Clique em Ativar o Cloud Shell.
Para criar um novo tópico do Pub/Sub ou usar um tópico atual, execute o seguinte comando:
gcloud pubsub topics create TOPIC_ID
Substitua
TOPIC_ID
pelo nome do tópico.Defina a variável de ambiente de ID do tópico:
export TOPIC_ID=TOPIC_ID
Crie uma assinatura para o tópico:
gcloud pubsub subscriptions create SUBSCRIPTION_ID --topic TOPIC_ID
Substitua
SUBSCRIPTION_ID
pelo nome da sua assinatura.
Para saber mais sobre como configurar o Pub/Sub, consulte Como gerenciar tópicos e assinaturas.
Em seguida, configure as permissões da sua conta.
Etapa 2: configurar as permissões da conta da CLI gcloud
Para criar um NotificationConfig
, você precisa conceder os seguintes papéis
à sua conta da CLI gcloud:
- Administrador da Central de segurança (
roles/securitycenter.admin
) ou o Editor de configurações de notificação da Central de segurança (roles/securitycenter.notificationConfigEditor
). Esse papel precisa ser concedido no mesmo nível (organização, pasta ou projeto) em que você está criando oNotificationConfig
. - Administrador do Pub/Sub (
roles/pubsub.admin
) no tópico do Pub/Sub que está recebendo notificações
no nível da organização, pasta ou projeto
Para conceder essas permissões, faça o seguinte:
Acesse o console do Google Cloud.
Selecione o projeto para o qual você ativou a API Security Command Center.
Clique em Ativar o Cloud Shell.
Defina o nome da organização:
export ORGANIZATION_ID=ORGANIZATION_ID
Substitua
ORGANIZATION_ID
pelo ID da organização.Defina o ID do projeto ao qual o tópico do Pub/Sub pertence:
export PUBSUB_PROJECT=PROJECT_ID
Substitua
PROJECT_ID
pela ID do seu projeto.Configure a conta da CLI gcloud que você está usando:
export GCLOUD_ACCOUNT=EMAIL
Substitua
EMAIL
pelo endereço de e-mail da conta que executa os comandos da CLI gcloud.Defina o ID do tópico ou use o tópico criado anteriormente.
export TOPIC_ID=TOPIC_ID
Substitua
TOPIC_ID
pelo nome do tópico.Conceda à conta da CLI gcloud um papel do Pub/Sub que tenha a permissão
pubsub.topics.setIamPolicy
:gcloud pubsub topics add-iam-policy-binding \ projects/$PUBSUB_PROJECT/topics/$TOPIC_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='roles/pubsub.admin'
Conceda à conta da CLI gcloud um papel que inclua todas as permissões
securitycenter.notification
, comoroles/securitycenter.notificationConfigEditor
ouroles/securitycenter.admin
. É possível conceder o papel no nível do projeto, da pasta ou da organização.Para conceder o papel em um nível de projeto:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='ROLE_NAME'
Substitua:
PROJECT_ID
: o ID do projeto em que o Security Command Center está ativado.ROLE_NAME
: o papel a ser atribuído.
Para conceder o papel no nível da organização:
gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='ROLE_NAME'
Substitua
ROLE_NAME
pelo papel a ser atribuído.
Em seguida, crie um NotificationConfig.
Bibliotecas de cliente
Para configurar o recurso de notificações da API Security Command Center usando as bibliotecas de cliente, execute as seguintes etapas:
- Configurar uma conta de serviço
- Faça o download das bibliotecas de cliente da API.
- Configure um ambiente para desenvolvedores.
- Configure um tópico e uma assinatura do Pub/Sub.
Etapa 1: configuração de uma conta de serviço
O recurso de notificações da API Security Command Center usa uma conta de serviço com as permissões apropriadas para configurar notificações. Essa conta de serviço é usada apenas para a definição inicial de uma configuração. É possível reutilizá-la para criar mais configurações de notificação posteriormente. Essa conta de serviço é separada da conta de serviço criada para você ao configurar o Security Command Center.
Para criar uma conta de serviço, faça o seguinte:
Acesse o console do Google Cloud.
Selecione o projeto para o qual você ativou a API Security Command Center.
Clique em Ativar o Cloud Shell.
Defina as variáveis de ambiente:
Defina o nome da organização:
export ORGANIZATION_ID=ORGANIZATION_ID
Substitua
ORGANIZATION_ID
pelo ID da organização.Defina o ID do projeto em que você quer ativar a API de notificações:
export PROJECT_ID=PROJECT_ID
Substitua
PROJECT_ID
pela ID do seu projeto.Defina o ID personalizado que você quer usar para a nova conta de serviço, como
scc-notifications
. O nome da conta de serviço precisa ter entre 6 e 30 caracteres, precisa começar com uma letra e ser todos caracteres alfanuméricos minúsculos e hífens:export SERVICE_ACCOUNT=CUSTOM_ID
Substitua
CUSTOM_ID
pelo nome personalizado da conta de serviço.Defina o caminho em que a chave da conta de serviço precisa ser armazenada, como
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json
:export KEY_LOCATION=FULL_KEY_LOCATION_PATH # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Substitua
FULL_KEY_LOCATION_PATH
pelo caminho completo da chave da conta de serviço.
Crie uma conta de serviço associada ao ID do projeto:
gcloud iam service-accounts create $SERVICE_ACCOUNT --display-name \ "Service Account for [USER]" --project $PROJECT_ID
Crie uma chave para associar à conta de serviço. A chave é usada quando você cria um
NotificationConfig
e é armazenada permanentemente noKEY_LOCATION
que você especificou nas etapas anteriores.gcloud iam service-accounts keys create $KEY_LOCATION --iam-account \ $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Conceda à conta de serviço um papel que inclua todas as permissões
securitycenter.notification
, comoroles/securitycenter.notificationConfigEditor
ouroles/securitycenter.admin
. É possível conceder o papel no nível do projeto, da pasta ou da organização.Conceda o papel para envolvidos no projeto.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='ROLE_NAME'
Substitua
ROLE_NAME
pelo papel a ser atribuído.Para conceder o papel no nível da organização:
gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='ROLE_NAME'
Substitua
ROLE_NAME
pelo papel a ser atribuído.
A conta de serviço está configurada para ser usada com notificações
e a chave da conta de serviço é armazenada no KEY_LOCATION
especificado. Para saber
mais sobre contas de serviço, consulte Como criar e gerenciar chaves de contas de serviço.
Etapa 2: configuração de um ambiente de desenvolvimento
Para usar o recurso de notificações da API Security Command Center, use a usar a CLI gcloud ou faça o download das bibliotecas de cliente e configure um ambiente de desenvolvimento para a linguagem que preferir.
Python
Opcional: antes de instalar a biblioteca do Python, recomendamos usar o Virtualenv para criar um ambiente Python isolado.
virtualenv YOUR_ENV source YOUR_ENV/bin/activate
Substitua
YOUR_ENV
pelo nome do seu ambiente.Instale o pip para gerenciar a instalação da biblioteca Python.
Execute os seguintes comandos para instalar a biblioteca Python:
pip install google-cloud-securitycenter
Java
Para incluir a biblioteca Java do Security Command Center como uma dependência no seu
projeto, selecione um artefato no repositório Maven.
As notificações são incluídas na versão 0.119.0
e posteriores da biblioteca.
Se você estiver usando o Intellij, defina
a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS
como o caminho absoluto da chave da conta de
serviço da notificação que você salvou nas etapas anteriores:
- No Intelij, clique em Executar. Editar configurações.
Defina a seguinte variável em Aplicativo > Run_Configuration_For_Sample e Variáveis de ambiente:
GOOGLE_APPLICATION_CREDENTIALS=ABSOLUTE_PATH_TO_SERVICE_ACCOUNT_KEY
Substitua
ABSOLUTE_PATH_TO_SERVICE_ACCOUNT_KEY
pelo caminho completo da chave da conta de serviço.
Go
Para instalar as dependências do Go na API de notificações, faça o download da biblioteca Go:
go get cloud.google.com/go/securitycenter/apiv1
Node.js
Na pasta do projeto, use npm
para instalar as dependências necessárias da API
de notificações:
npm install --save @google-cloud/security-center/
Etapa 3: configuração do Pub/Sub
Para entregar notificações no Pub/Sub, inscreva-se em um
tópico do Pub/Sub e conceda à conta de serviço de
notificações um papel do IAM que inclua a permissão
pubsub.topics.setIamPolicy
:
Crie um novo tópico do Pub/Sub ou use um tópico atual:
gcloud pubsub topics create TOPIC_ID
Substitua
TOPIC_ID
pelo ID do tópico.Defina as variáveis de ambiente:
Defina o ID do tópico:
export TOPIC_ID=TOPIC_ID
Defina o ID do projeto em que você ativou a API de notificações:
export CONSUMER_PROJECT=PROJECT_ID
Substitua
PROJECT_ID
pela ID do seu projeto.Defina o e-mail da conta de serviço que você criou nas etapas anteriores:
export SERVICE_ACCOUNT_EMAIL=SERVICE_ACCOUNT_NAME@$CONSUMER_PROJECT.iam.gserviceaccount.com
Substitua
SERVICE_ACCOUNT_NAME
pelo nome da conta de serviço.
Crie uma assinatura para o tópico:
gcloud pubsub subscriptions create SUBSCRIPTION_ID --topic TOPIC_ID
Substitua
SUBSCRIPTION_ID
pelo ID da assinatura.Conceda à conta do serviço de notificações um papel com a permissão
pubsub.topics.setIamPolicy
:gcloud pubsub topics add-iam-policy-binding \ projects/$CONSUMER_PROJECT/topics/$TOPIC_ID \ --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \ --role='roles/pubsub.admin'
Para saber mais sobre como configurar o Pub/Sub,
consulte Como gerenciar tópicos e assinaturas. Na
próxima etapa, conclua a configuração criando um
NotificationConfig
.
Como criar um NotificationConfig
Antes de criar um NotificationConfig
, observe que cada organização
pode ter um número limitado de arquivos NotificationConfig
. Para mais
informações, consulte Cotas e limites.
O NotificationConfig
inclui um campo filter
, que limita as notificações a eventos úteis. Esse campo aceita todos os filtros disponíveis na
API Security Command Center findings.list
.
Ao criar um NotificationConfig
, você especifica um pai para o
NotificationConfig
da hierarquia de recursos do Google Cloud,
seja uma organização, uma pasta ou um projeto. Se for necessário recuperar,
atualizar ou excluir o NotificationConfig
posteriormente, será necessário incluir
o ID numérico da organização, pasta ou projeto pai
ao indicá-lo.
Para criar o NotificationConfig
usando o idioma ou a plataforma
de sua escolha:
gcloud
gcloud scc notifications create NOTIFICATION_NAME \ --PARENT=PARENT_ID \ --location=LOCATION --description="NOTIFICATION_DESCRIPTION" \ --pubsub-topic=PUBSUB_TOPIC \ --filter="FILTER"
Substitua:
NOTIFICATION_NAME
: o nome da notificação. Precisa ter entre 1 e 128 caracteres e conter caracteres alfanuméricos somente caracteres, sublinhados ou hifens.PARENT
: o escopo na hierarquia de recursos. ao qual a notificação se aplica,organization
,folder
ouproject
.PARENT_ID
: o ID da organização pai. pasta ou projeto especificado no formatoorganizations/123
,folders/456
ouprojects/789
.LOCATION
: se a residência de dados estiver ativada, especifique Local do Security Command Center para criar a notificação. OnotificationConfig
resultante recurso é armazenado apenas nesse local. Somente as descobertas que são emitidos neste local são enviados ao Pub/Sub.Se a residência de dados não estiver ativada, especificar a flag
--location
cria a notificação usando a API Security Command Center v2; e o único valor válido para a sinalização églobal
.NOTIFICATION_DESCRIPTION
: uma descrição do uma notificação de até 1.024 caracteres.PUBSUB_TOPIC
: o Pub/Sub para o tópico que receberá as notificações. O formato é:projects/PROJECT_ID/topics/TOPIC
:FILTER
: a expressão que você define para selecionar. quais descobertas são enviadas ao Pub/Sub. Por exemplo,state="ACTIVE"
.
Python
O exemplo a seguir usa a API v1. Para modificar
exemplo da v2, substitua v1
por v2
e adicione
/locations/LOCATION
, que é o nome do recurso.
Para a maioria dos recursos, adicione /locations/LOCATION
ao
nome do recurso depois de /PARENT/PARENT_ID
, em que
PARENT
é organizations
, folders
,
ou projects
.
Para descobertas, adicione /locations/LOCATION
ao recurso
depois de /sources/SOURCE_ID
, em que SOURCE_ID
é o ID do
Serviço do Security Command Center
que emitiu a descoberta.
Java
O exemplo a seguir usa a API v1. Para modificar
exemplo da v2, substitua v1
por v2
e adicione
/locations/LOCATION
, que é o nome do recurso.
Para a maioria dos recursos, adicione /locations/LOCATION
ao
nome do recurso depois de /PARENT/PARENT_ID
, em que
PARENT
é organizations
, folders
,
ou projects
.
Para descobertas, adicione /locations/LOCATION
ao recurso
depois de /sources/SOURCE_ID
, em que SOURCE_ID
é o ID do
Serviço do Security Command Center
que emitiu a descoberta.
Go
O exemplo a seguir usa a API v1. Para modificar
exemplo da v2, substitua v1
por v2
e adicione
/locations/LOCATION
, que é o nome do recurso.
Para a maioria dos recursos, adicione /locations/LOCATION
ao
nome do recurso depois de /PARENT/PARENT_ID
, em que
PARENT
é organizations
, folders
,
ou projects
.
Para descobertas, adicione /locations/LOCATION
ao recurso
depois de /sources/SOURCE_ID
, em que SOURCE_ID
é o ID do
Serviço do Security Command Center
que emitiu a descoberta.
Node.js
O exemplo a seguir usa a API v1. Para modificar
exemplo da v2, substitua v1
por v2
e adicione
/locations/LOCATION
, que é o nome do recurso.
Para a maioria dos recursos, adicione /locations/LOCATION
ao
nome do recurso depois de /PARENT/PARENT_ID
, em que
PARENT
é organizations
, folders
,
ou projects
.
Para descobertas, adicione /locations/LOCATION
ao recurso
depois de /sources/SOURCE_ID
, em que SOURCE_ID
é o ID do
Serviço do Security Command Center
que emitiu a descoberta.
PHP
O exemplo a seguir usa a API v1. Para modificar
exemplo da v2, substitua v1
por v2
e adicione
/locations/LOCATION
, que é o nome do recurso.
Para a maioria dos recursos, adicione /locations/LOCATION
ao
nome do recurso depois de /PARENT/PARENT_ID
, em que
PARENT
é organizations
, folders
,
ou projects
.
Para descobertas, adicione /locations/LOCATION
ao recurso
depois de /sources/SOURCE_ID
, em que SOURCE_ID
é o ID do
Serviço do Security Command Center
que emitiu a descoberta.
Ruby
O exemplo a seguir usa a API v1. Para modificar
exemplo da v2, substitua v1
por v2
e adicione
/locations/LOCATION
, que é o nome do recurso.
Para a maioria dos recursos, adicione /locations/LOCATION
ao
nome do recurso depois de /PARENT/PARENT_ID
, em que
PARENT
é organizations
, folders
,
ou projects
.
Para descobertas, adicione /locations/LOCATION
ao recurso
depois de /sources/SOURCE_ID
, em que SOURCE_ID
é o ID do
Serviço do Security Command Center
que emitiu a descoberta.
C#
O exemplo a seguir usa a API v1. Para modificar
exemplo da v2, substitua v1
por v2
e adicione
/locations/LOCATION
, que é o nome do recurso.
Para a maioria dos recursos, adicione /locations/LOCATION
ao
nome do recurso depois de /PARENT/PARENT_ID
, em que
PARENT
é organizations
, folders
,
ou projects
.
Para descobertas, adicione /locations/LOCATION
ao recurso
depois de /sources/SOURCE_ID
, em que SOURCE_ID
é o ID do
Serviço do Security Command Center
que emitiu a descoberta.
Agora, as notificações são publicadas no tópico Pub/Sub que você especificou.
Para publicar notificações, uma conta de serviço é criada para você na forma de
service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
.
Essa conta de serviço é criada quando você cria seu primeiro NotificationConfig
e recebe automaticamente o papel securitycenter.notificationServiceAgent
na política do IAM para PUBSUB_TOPIC ao criar a configuração de notificação.
Esse papel de conta de serviço é necessário para
que as notificações funcionem.
Como conceder acesso de perímetro no VPC Service Controls
Se você usar o VPC Service Controls e o tópico do Pub/Sub fizer parte de um projeto dentro de um perímetro de serviço, será necessário conceder acesso a projetos para criar notificações.
Para conceder acesso a projetos, crie regras de entrada e saída para os principais
e projetos usados para criar notificações. As regras permitem o
acesso a recursos protegidos e permitem que o Pub/Sub verifique se os usuários têm a
permissão setIamPolicy
no tópico do Pub/Sub.
Antes de criar uma NotificationConfig
Antes de concluir as etapas em Como criar uma NotificationConfig, faça o seguinte:
Acesse a página VPC Service Controls no console do Cloud.
Se necessário, selecione a organização.
Clique no nome do perímetro de serviço que você quer alterar.
Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram violações
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
. Nessas entradas, verifique o camposervicePerimeterName
:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
.Clique em Editar perímetro.
No menu de navegação, clique em Política de entrada.
Para configurar regras de entrada para usuários ou contas de serviço, use os seguintes parâmetros:
- Atributos FROM do cliente da API:
- No menu suspenso Origem, selecione Todas as origens.
- No menu suspenso Identidades, escolha Identidades selecionadas.
- Clique em Selecionar e insira o principal usado para chamar a API Security Command Center.
- Atributos "Para" dos serviços/recursos do Google Cloud:
- No menu suspenso Projeto, escolha Projetos selecionados.
- Clique em Selecionar e insira o projeto que contém o tópico do Pub/Sub.
- No menu suspenso Serviços, escolha Serviços selecionados e, em seguida, selecione API Cloud Pub/Sub.
- No menu suspenso Métodos, escolha Todas as ações.
- Atributos FROM do cliente da API:
Clique em Save.
No menu de navegação, clique em Política de saída.
Clique em Add Rule.
Para configurar regras de saída para contas de usuário ou serviço, insira os seguintes parâmetros:
- Atributos FROM do cliente da API:
- No menu suspenso Identidades, escolha Identidades selecionadas.
- Clique em Selecionar e insira o principal usado para chamar a API Security Command Center.
- Atributos "Para" dos serviços/recursos do Google Cloud:
- No menu suspenso Projeto, escolha Todos os projetos.
- No menu suspenso Serviços, escolha Serviços selecionados e, em seguida, selecione API Cloud Pub/Sub.
- No menu suspenso Métodos, escolha Todas as ações.
- Atributos FROM do cliente da API:
Clique em Save.
Criar uma regra de entrada para a NotificationConfig
Para criar uma regra de entrada para um NotificationConfig
, faça o seguinte:
- Conclua as instruções de Como criar uma NotificationConfig.
- Abra novamente o perímetro de serviço da seção anterior.
- Clique em Política de entrada.
- Clique em Add Rule.
- Para configurar a regra de entrada para a conta de serviço
NotificationConfig
criada, insira os seguintes parâmetros:- Atributos FROM do cliente da API:
- No menu suspenso Origem, selecione Todas as origens.
- No menu suspenso Identidades, escolha Identidades selecionadas.
- Clique em Selecionar e insira o nome da conta de serviço
NotificationConfig
:service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
- Atributos TO de serviços/recursos do GCP:
- No menu suspenso Projeto, escolha Projetos selecionados.
- Clique em Selecionar e selecione o projeto que contém o tópico do Pub/Sub.
- No menu suspenso Serviços, escolha Serviços selecionados e, em seguida, selecione API Cloud Pub/Sub.
- No menu suspenso Métodos, escolha Todas as ações.
- Atributos FROM do cliente da API:
- No menu de navegação, clique em Salvar.
As contas de serviço, usuários e projetos selecionados agora podem acessar os recursos protegidos e criar notificações.
Se você seguiu todas as etapas deste guia e as notificações estão funcionando corretamente, agora é possível excluir o seguinte:
- A regra de entrada do principal
- A regra de saída para a principal
Essas regras só eram necessárias para configurar o NotificationConfig
. No entanto, para que as
notificações continuem funcionando, mantenha a regra de entrada da
NotificationConfig
, que permite publicar notificações no seu
tópico do Pub/Sub atrás do perímetro de serviço.
A seguir
- Saiba mais sobre como ativar notificações de chat e e-mail em tempo real.
- Saiba como gerenciar a API Notifications.
- Saiba mais sobre filtrar notificações.