Questa pagina è stata tradotta dall'API Cloud Translation.

Consenti a VM Threat Detection di accedere ai perimetri dei Controlli di servizio VPC

Questo documento descrive come aggiungere regole di traffico in entrata e in uscita per consentire a Virtual Machine Threat Detection di analizzare le VM nei perimetri dei Controlli di servizio VPC. Esegui questa attività se la tua organizzazione utilizza i Controlli di servizio VPC per limitare i servizi nei progetti che vuoi che VM Threat Detection analizzi. Per saperne di più su VM Threat Detection, consulta la panoramica di VM Threat Detection.

Prima di iniziare

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the organization.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Vai a IAM
Seleziona l'organizzazione.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.
Nell'elenco Seleziona un ruolo, seleziona un ruolo.
Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
Fai clic su Salva.

Crea le regole per il traffico in entrata e in uscita

Per consentire a VM Threat Detection di analizzare le VM nei perimetri Controlli di servizio VPC, aggiungi le regole di uscita e di ingresso richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che VM Threat Detection esamini.

Per ulteriori informazioni, consulta la sezione Aggiornamento dei criteri in entrata e in uscita per un perimetro di servizio nella documentazione di Controlli di servizio VPC.

Console

Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Seleziona la tua organizzazione o il tuo progetto.
Se hai selezionato un'organizzazione, fai clic su Seleziona un criterio di accesso e poi seleziona il criterio di accesso associato al perimetro che vuoi aggiornare.
Fai clic sul nome del perimetro da aggiornare.

Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Fai clic su Modifica perimetro.
Fai clic su Criterio in uscita.
Fai clic su Aggiungi una regola in uscita.
Nella sezione DA, imposta i seguenti dettagli:
1. Per Identità, seleziona Seleziona identità e gruppi.
2. Fai clic su Aggiungi identità.
3. Inserisci l'indirizzo email dell' agente di servizio del Centro sicurezza. L'indirizzo dell'agente di servizio ha il seguente formato:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  Sostituisci ORGANIZATION_ID con l'ID organizzazione.
4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identità.
Nella sezione A, imposta i seguenti dettagli:
1. In Progetto, seleziona Tutti i progetti.
2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.
3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:
  - Aggiungi il servizio compute.googleapis.com.
    1. Fai clic su Seleziona metodi.
    2. Seleziona il metodo DisksService.Insert.
    3. Fai clic su Aggiungi metodi selezionati.
Fai clic su Criterio in entrata.
Fai clic su Aggiungi una regola in entrata.
Nella sezione DA, imposta i seguenti dettagli:
1. Per Identità, seleziona Seleziona identità e gruppi.
2. Fai clic su Aggiungi identità.
3. Inserisci l'indirizzo email dell' agente di servizio del Centro sicurezza. L'indirizzo dell'agente di servizio ha il seguente formato:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  Sostituisci ORGANIZATION_ID con l'ID organizzazione.
4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identità.
5. In Origini, seleziona Tutte le origini.
Nella sezione A, imposta i seguenti dettagli:
1. In Progetto, seleziona Tutti i progetti.
2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.
3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:
  - Aggiungi il servizio compute.googleapis.com.
    1. Fai clic su Seleziona metodi.
    2. Seleziona i seguenti metodi:
      - DisksService.Insert
      - InstancesService.AggregatedList
      - InstancesService.List
    3. Fai clic su Aggiungi metodi selezionati.
Fai clic su Salva.

gcloud

Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l'API Access Context Manager.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

Crea un file denominato egress-rule.yaml con il seguente contenuto:

- egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

Sostituisci ORGANIZATION_ID con l'ID organizzazione.

Crea un file denominato ingress-rule.yaml con il seguente contenuto:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'