In diesem Dokument wird beschrieben, wie Sie Regeln für ein- und ausgehenden Traffic hinzufügen, damit Virtual Machine Threat Detection VMs in Ihren VPC Service Controls-Perimetern scannen kann. Führen Sie diese Aufgabe aus, wenn Ihre Organisation VPC Service Controls verwendet, um Dienste in Projekten einzuschränken, die von der VM-Gefahrenerkennung gescannt werden sollen. Weitere Informationen zur VM Threat Detection finden Sie unter VM Threat Detection – Übersicht.
Hinweise
Make sure that you have the following role or roles on the organization:
Access Context Manager Editor
(roles/accesscontextmanager.policyEditor).
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM aufrufen - Wählen Sie die Organisation aus.
- Klicken Sie auf Zugriff erlauben.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
Regeln für ausgehenden und eingehenden Traffic erstellen
Damit VM Threat Detection die VMs in VPC Service Controls-Perimetern scannen kann, fügen Sie in diesen Perimetern die erforderlichen Regeln für ausgehenden und eingehenden Traffic hinzu. Führen Sie diese Schritte für jeden Perimeter aus, den VM Threat Detection scannen soll.
Weitere Informationen finden Sie in der VPC Service Controls-Dokumentation unter Ein- und Ausstiegsrichtlinien für einen Dienstperimeter aktualisieren.
Console
-
Google Cloud Rufen Sie in der Console die Seite VPC Service Controls auf.
- Wählen Sie Ihre Organisation oder das Projekt aus.
- Wenn Sie eine Organisation ausgewählt haben, klicken Sie auf Zugriffsrichtlinie auswählen und wählen Sie dann die Zugriffsrichtlinie aus, die mit dem Perimeter verknüpft ist, den Sie aktualisieren möchten.
-
Klicken Sie auf den Namen des Perimeters, den Sie aktualisieren möchten.
Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstöße enthalten. Prüfen Sie in diesen Einträgen das FeldservicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
- Klicken Sie auf Perimeter bearbeiten.
- Klicken Sie auf Richtlinie für ausgehenden Traffic.
- Klicken Sie auf Regel für ausgehenden Traffic hinzufügen.
-
Legen Sie im Abschnitt FROM die folgenden Details fest:
- Wählen Sie unter Identität die Option Identitäten und Gruppen auswählen aus.
- Klicken Sie auf Identitäten hinzufügen.
-
Geben Sie die E-Mail-Adresse des Security Center-Kundenservicemitarbeiters ein. Die Adresse des Dienst-Agents hat das folgende Format:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID. - Wählen Sie den Kundenservicemitarbeiter aus oder drücken Sie die Eingabetaste und klicken Sie dann auf Identitäten hinzufügen.
-
Legen Sie im Abschnitt AN die folgenden Details fest:
- Wählen Sie für Projekt die Option Alle Projekte aus.
- Wählen Sie unter Vorgänge oder IAM-Rollen die Option Vorgänge auswählen aus.
-
Klicken Sie auf Vorgänge hinzufügen und fügen Sie die folgenden Vorgänge hinzu:
- Fügen Sie den Dienst compute.googleapis.com hinzu.
- Klicken Sie auf Methoden auswählen.
-
Wählen Sie die Methode DisksService.Insert aus.
- Klicken Sie auf Auswahl hinzufügen.
- Fügen Sie den Dienst compute.googleapis.com hinzu.
- Klicken Sie auf Richtlinie für eingehenden Traffic.
- Klicken Sie auf Regel für eingehenden Traffic hinzufügen.
-
Legen Sie im Abschnitt FROM die folgenden Details fest:
- Wählen Sie unter Identität die Option Identitäten und Gruppen auswählen aus.
- Klicken Sie auf Identitäten hinzufügen.
-
Geben Sie die E-Mail-Adresse des Security Center-Kundenservicemitarbeiters ein. Die Adresse des Dienst-Agents hat das folgende Format:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID. - Wählen Sie den Kundenservicemitarbeiter aus oder drücken Sie die Eingabetaste und klicken Sie dann auf Identitäten hinzufügen.
- Wählen Sie für Quellen die Option Alle Quellen aus.
-
Legen Sie im Abschnitt AN die folgenden Details fest:
- Wählen Sie für Projekt die Option Alle Projekte aus.
- Wählen Sie unter Vorgänge oder IAM-Rollen die Option Vorgänge auswählen aus.
-
Klicken Sie auf Vorgänge hinzufügen und fügen Sie die folgenden Vorgänge hinzu:
- Fügen Sie den Dienst compute.googleapis.com hinzu.
- Klicken Sie auf Methoden auswählen.
-
Wählen Sie die folgenden Methoden aus:
- DisksService.Insert
- InstancesService.AggregatedList
- InstancesService.List
- Klicken Sie auf Auswahl hinzufügen.
- Fügen Sie den Dienst compute.googleapis.com hinzu.
- Klicken Sie auf Speichern.
gcloud
-
Legen Sie ein Kontingentprojekt fest, falls noch nicht geschehen. Wählen Sie ein Projekt aus, für das die Access Context Manager API aktiviert ist.
gcloud config set billing/quota_project QUOTA_PROJECT_ID
Ersetzen Sie
QUOTA_PROJECT_IDdurch die ID des Projekts, das Sie für die Abrechnung und das Kontingent verwenden möchten. -
Erstellen Sie eine Datei mit dem Namen
egress-rule.yamlund mit folgendem Inhalt:- egressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com egressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: DisksService.Insert resources: - '*'
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID. -
Erstellen Sie eine Datei mit dem Namen
ingress-rule.yamlund mit folgendem Inhalt:- ingressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com sources: - accessLevel: '*' ingressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: DisksService.Insert - method: InstancesService.AggregatedList - method: InstancesService.List resources: - '*'
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID. -
Fügen Sie dem Perimeter die Regel für ausgehenden Traffic hinzu:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-egress-policies=egress-rule.yaml
Ersetzen Sie Folgendes:
-
PERIMETER_NAME: der Name des Perimeter. Zum Beispiel,accessPolicies/1234567890/servicePerimeters/example_perimeter.Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstöße enthalten. Prüfen Sie in diesen Einträgen das FeldservicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
-
-
Fügen Sie die Regel für eingehenden Traffic dem Perimeter hinzu:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-ingress-policies=ingress-rule.yaml
Ersetzen Sie Folgendes:
-
PERIMETER_NAME: der Name des Perimeter. Zum Beispiel,accessPolicies/1234567890/servicePerimeters/example_perimeter.Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstöße enthalten. Prüfen Sie in diesen Einträgen das FeldservicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
-
Weitere Informationen finden Sie unter Regeln für eingehenden und ausgehenden Traffic.