Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Consenti a Event Threat Detection di accedere ai perimetri dei Controlli di servizio VPC

Questo documento descrive come aggiungere regole in entrata per consentire a Event Threat Detection di monitorare i flussi di logging in Security Command Center all'interno dei perimetri dei Controlli di servizio VPC. Esegui questa attività se la tua organizzazione utilizza i Controlli di servizio VPC per limitare i servizi nei progetti che vuoi che Event Threat Detection monitori. Per saperne di più su Event Threat Detection, consulta Panoramica di Event Threat Detection.

Prima di iniziare

Assicurati di avere il seguente ruolo o i seguenti ruoli nell'organizzazione: Agente di servizio Cloud Asset (roles/cloudasset.serviceAgent).

Controlla i ruoli

Nella console Google Cloud vai alla pagina IAM.
Vai a IAM
Seleziona l'organizzazione.
Nella colonna Entità, trova tutte le righe che identificano te o un gruppo di cui fai parte. Per scoprire a quali gruppi appartieni, contatta il tuo amministratore.
Per tutte le righe che ti specificano o ti includono, controlla la colonna Ruolo per verificare se l'elenco dei ruoli include i ruoli richiesti.

Concedi i ruoli

Nella console Google Cloud vai alla pagina IAM.
Vai a IAM
Seleziona l'organizzazione.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.
Fai clic su Seleziona un ruolo, quindi cerca il ruolo.
Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo successivo.
Fai clic su Salva.

Crea le regole in entrata

Per consentire a Event Threat Detection di monitorare i flussi di logging in Security Command Center all'interno dei perimetri dei controlli di servizio VPC, aggiungi le regole in entrata richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che Event Threat Detection monitori.

Per saperne di più, consulta la sezione Aggiornamento delle policy in entrata e in uscita per un perimetro di servizio nella documentazione dei Controlli di servizio VPC.

Console

Vai al perimetro di servizio

Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Seleziona la tua organizzazione.
Nell'elenco a discesa, seleziona la policy di accesso che contiene il perimetro di servizio a cui vuoi concedere l'accesso.

I service perimeter associati alla policy di accesso vengono visualizzati nell'elenco.
Fai clic sul nome del perimetro di servizio da aggiornare.

Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Fai clic su Modifica.

Aggiungi una regola in entrata

Fai clic su Criterio in entrata.
Fai clic su Aggiungi una regola in entrata.
Nella sezione Da, imposta i seguenti dettagli:
1. Per Identità > Identità, seleziona Seleziona identità e gruppi.
2. Fai clic su Aggiungi identità.
3. Inserisci l'indirizzo email che identifica l'agente di servizio Cloud Security Command Center. Questo indirizzo ha il seguente formato:
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.
4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identità.
Nella sezione A, imposta i seguenti dettagli:
1. Per Risorse > Progetti, seleziona Tutti i progetti.
2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.
3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:
  - Aggiungi il servizio cloudasset.googleapis.com.
    1. Fai clic su Tutti i metodi.
    2. Fai clic su Aggiungi tutti i metodi.
Fai clic su Salva.

gcloud

Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l'API Gestore contesto accesso.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

Crea un file denominato ingress-rule.yaml con il seguente contenuto:

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Aggiungi la regola in entrata al perimetro:
```
gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml
```
Sostituisci quanto segue:
- PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.
  
  Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName:
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```

Per saperne di più, consulta Regole in entrata e in uscita.

Passaggi successivi

Scopri come utilizzare Event Threat Detection.