允许为 Google Cloud 执行的漏洞评估访问 VPC Service Controls 边界

本文档介绍了如何添加入站和出站规则,以允许 Google Cloud 中的漏洞评估功能扫描 VPC Service Controls 边界中的虚拟机。如果您的组织使用 VPC Service Controls 来限制您希望漏洞评估 Google Cloud 扫描的项目中的服务,请执行此任务。如需详细了解 Google Cloud漏洞评估,请参阅为 Google Cloud启用和使用 Google Cloud 漏洞评估

准备工作

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。

    8. 创建出站和入站规则

    如需允许 Google Cloud 的漏洞评估功能扫描 VPC Service Controls 边界中的虚拟机,请在这些边界中添加所需的出站流量和入站流量规则。针对您希望漏洞评估 Google Cloud 扫描的每个安全边界执行以下步骤。

    如需了解详情,请参阅 VPC Service Controls 文档中的更新服务边界的入站流量和出站流量政策

    控制台

    1. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

      转到 VPC Service Controls

    2. 选择您的组织或项目。
    3. 如果您选择了某个组织,请点击选择访问权限政策,然后选择与要更新的边界关联的访问权限政策。

    4. 点击要更新的边界的名称。

      如需查找您需要修改的服务边界,您可以查看日志中是否存在显示 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 违规行为的条目。在这些条目中,检查 servicePerimeterName 字段:

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. 点击 修改边界
    6. 点击出站流量政策
    7. 点击添加出站流量规则

    8. FROM 部分中,设置以下详细信息:

      1. 对于身份部分,选择选择身份和群组
      2. 点击添加身份

      3. 输入 Security Center 服务代理的电子邮件地址。 服务代理的地址采用以下格式: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        ORGANIZATION_ID 替换为您的组织 ID。

      4. 选择服务代理或按 ENTER 键,然后点击添加身份

    9. 目标部分中,设置以下详细信息:

      1. 对于项目,选择所有项目
      2. 对于操作或 IAM 角色,请选择选择操作

      3. 点击添加操作,然后添加以下操作:

        • 添加 compute.googleapis.com 服务。
          1. 点击选择方法

          2. 选择 DisksService.Insert 方法。

          3. 点击添加所选方法
    10. 点击入站流量政策
    11. 点击添加入站流量规则

    12. FROM 部分中,设置以下详细信息:

      1. 对于身份部分,选择选择身份和群组
      2. 点击添加身份

      3. 输入 Security Center 服务代理的电子邮件地址。 服务代理的地址采用以下格式: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        ORGANIZATION_ID 替换为您的组织 ID。

      4. 选择服务代理或按 ENTER 键,然后点击添加身份
      5. 来源部分,选择所有来源

    13. 目标部分中,设置以下详细信息:

      1. 对于项目,选择所有项目
      2. 对于操作或 IAM 角色,请选择选择操作

      3. 点击添加操作,然后添加以下操作:

        • 添加 compute.googleapis.com 服务。
          1. 点击选择方法

          2. 选择以下方法:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. 点击添加所选方法
    14. 点击保存

    gcloud

    1. 如果尚未设置配额项目,请进行设置。选择已启用 Access Context Manager API 的项目。

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      QUOTA_PROJECT_ID 替换为您要用于结算和配额的项目的 ID。

    2. 创建名为 egress-rule.yaml 且包含以下内容的文件:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      ORGANIZATION_ID 替换为您的组织 ID。

    3. 创建名为 ingress-rule.yaml 且包含以下内容的文件:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      ORGANIZATION_ID 替换为您的组织 ID。

    4. 将出站流量规则添加到边界:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      替换以下内容:

      • PERIMETER_NAME:边界的名称。例如 accessPolicies/1234567890/servicePerimeters/example_perimeter

        如需查找您需要修改的服务边界,您可以查看日志中是否存在显示 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 违规行为的条目。在这些条目中,检查 servicePerimeterName 字段:

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. 将入站规则添加到边界:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      替换以下内容:

      • PERIMETER_NAME:边界的名称。例如 accessPolicies/1234567890/servicePerimeters/example_perimeter

        如需查找您需要修改的服务边界,您可以查看日志中是否存在显示 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 违规行为的条目。在这些条目中,检查 servicePerimeterName 字段:

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    如需了解详情,请参阅入站流量和出站流量规则