Esta página foi traduzida pela API Cloud Translation.

Permitir que a VM Threat Detection acesse os perímetros do VPC Service Controls

Neste documento, descrevemos como adicionar regras de entrada e saída para permitir que a Detecção de ameaças a máquinas virtuais verifique VMs nos perímetros do VPC Service Controls. Faça isso se a organização usa o VPC Service Controls para restringir serviços em projetos que você quer que a Detecção de ameaças em VMs verifique. Para mais informações sobre a detecção de ameaças da VM, consulte Visão geral da detecção de ameaças da VM.

Antes de começar

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the organization.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Acessar o IAM
Selecionar uma organização.
Clique em CONCEDER ACESSO.
No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
Na lista Selecionar um papel, escolha um.
Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
Clique em Salvar.

Criar as regras de saída e entrada

Para permitir que a VM Threat Detection verifique as VMs nos perímetros do VPC Service Controls, adicione as regras de saída e entrada necessárias nesses perímetros. Siga estas etapas para cada perímetro que você quer que a VM Threat Detection verifique.

Para mais informações, consulte Como atualizar políticas de entrada e saída para um perímetro de serviço na documentação do VPC Service Controls.

Console

No console do Google Cloud , acesse a página VPC Service Controls.

Acessar o VPC Service Controls
Selecione a organização ou o projeto.
Se você selecionou uma organização, clique em Selecionar uma política de acesso e escolha a política associada ao perímetro que você quer atualizar.
Clique no nome do perímetro que você quer atualizar.

Para encontrar o perímetro de serviço que você precisa modificar, verifique nos registros as entradas que mostram violações RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Clique em Editar perímetro.
Clique em Política de saída.
Clique em Adicionar uma regra de saída.
Na seção DE, defina os seguintes detalhes:
1. Em Identidade, selecione Selecionar identidades e grupos.
2. Clique em Adicionar identidades.
3. Digite o endereço de e-mail do agente de serviço do Security Center. O endereço do agente de serviço tem o seguinte formato:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  SubstituaORGANIZATION_ID pelo ID da organização.
4. Selecione o agente de serviço ou pressione ENTER e clique em Adicionar identidades.
Na seção PARA, defina os seguintes detalhes:
1. Em Projeto, selecione Todos os projetos.
2. Em Operações ou papéis do IAM, selecione Selecionar operações.
3. Clique em Adicionar operações e adicione as seguintes operações:
  - Adicione o serviço compute.googleapis.com.
    1. Clique em Selecionar métodos.
    2. Selecione o método DisksService.Insert.
    3. Clique em Adicionar métodos selecionados.
Clique em Política de entrada.
Clique em Adicionar uma regra de entrada.
Na seção DE, defina os seguintes detalhes:
1. Em Identidade, selecione Selecionar identidades e grupos.
2. Clique em Adicionar identidades.
3. Digite o endereço de e-mail do agente de serviço do Security Center. O endereço do agente de serviço tem o seguinte formato:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  SubstituaORGANIZATION_ID pelo ID da organização.
4. Selecione o agente de serviço ou pressione ENTER e clique em Adicionar identidades.
5. Em Origens, selecione Todas as origens.
Na seção PARA, defina os seguintes detalhes:
1. Em Projeto, selecione Todos os projetos.
2. Em Operações ou papéis do IAM, selecione Selecionar operações.
3. Clique em Adicionar operações e adicione as seguintes operações:
  - Adicione o serviço compute.googleapis.com.
    1. Clique em Selecionar métodos.
    2. Selecione os seguintes métodos:
      - DisksService.Insert
      - InstancesService.AggregatedList
      - InstancesService.List
    3. Clique em Adicionar métodos selecionados.
Clique em Salvar.

gcloud

Se um projeto de cota ainda não estiver definido, faça isso. Escolha um projeto com a API Access Context Manager ativada.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Substitua QUOTA_PROJECT_ID pelo ID do projeto que você quer usar para faturamento e cota.

Crie um arquivo chamado egress-rule.yaml com o seguinte conteúdo:

- egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

SubstituaORGANIZATION_ID pelo ID da organização.

Crie um arquivo chamado ingress-rule.yaml com o seguinte conteúdo:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'