이 페이지는 Cloud Translation API를 통해 번역되었습니다.

VPC 서비스 제어를 위한 Assured OSS 지원 구성

VPC 서비스 제어 서비스 경계 내에서 Assured Open Source Software (Assured OSS)를 사용 설정하는 경우 이그레스 규칙을 구성해야 합니다.

이 문서는 Assured Open Source Software의 프리미엄 등급에만 적용됩니다.

자세한 내용은 이그레스 정책 구성을 참고하세요.

시작하기 전에

조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
다음 정보를 알고 있어야 합니다.
- Assured OSS를 설정하는 데 사용한 서비스 계정
- Assured OSS를 설정할 때 자동으로 생성된 Artifact Registry 서비스 에이전트
- Assured OSS를 설정한 사용자 계정입니다.

Assured OSS 저장소에서 바이너리를 다운로드할 때 이그레스 규칙 구성

Artifact Registry 저장소에 대해 이 작업을 완료합니다.

다음 이그레스 규칙을 구성합니다.

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
    - serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
    - USER_GROUP
  egressTo:
    operations:
    - methodSelectors:
      - method: artifactregistry.googleapis.com/MavenRead
      - method: artifactregistry.googleapis.com/NPMRead
      - method: artifactregistry.googleapis.com/PythonRead
      serviceName: artifactregistry.googleapis.com
    resources:
    - projects/855934472549
    - projects/107114433875

다음을 바꿉니다.

ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: Artifact Registry 서비스 에이전트의 이메일 주소입니다.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: 오픈소스 패키지에 대한 액세스가 필요한 다른 서비스 계정의 이메일 주소입니다.
USER_GROUP: 오픈소스 패키지에 대한 액세스가 필요한 그룹입니다. 예를 들면 group:my-group@example.com 또는 user:alex@example.com입니다.

Assured OSS 버킷에서 보안 메타데이터에 액세스할 때 이그레스 규칙 구성

Assured OSS를 설정하는 데 사용한 사용자 계정 및 서비스 계정에 대해 이 작업을 완료합니다.

다음 이그레스 규칙을 구성합니다.

- egressFrom:
    identities:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: google.storage.objects.get
      - method: google.storage.objects.list
      serviceName: storage.googleapis.com
    resources:
    - projects/107114433875

다음을 바꿉니다.

ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.
ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS를 설정하는 데 사용한 사용자 계정의 이메일 주소입니다.

Pub/Sub 알림 설정 시 이그레스 규칙 구성

이 작업을 완료하여 Assured OSS에 대한 Pub/Sub 알림을 설정합니다.

다음과 같은 이그레스 규칙을 만듭니다.

- egressFrom:
    - serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
    - user: ASSURED_OSS_USER_EMAIL_ADDRESS
  egressTo:
    operations:
    - methodSelectors:
      - method: Subscriber.CreateSubscription
      serviceName: pubsub.googleapis.com
    resources:
    - projects/107114433875

다음을 바꿉니다.

ASSURED_OSS_EMAIL_ADDRESS: Assured OSS를 설정할 때 지정한 서비스 계정의 이메일 주소입니다.
ASSURED_OSS_USER_EMAIL_ADDRESS: Assured OSS를 설정하는 데 사용한 사용자 계정의 이메일 주소입니다.

구독을 구성한 후 이 이그레스 규칙을 삭제할 수 있습니다.

다음 단계

이그레스 정책 구성에 대해 자세히 알아보세요.
VPC 서비스 제어로 Security Command Center 사용 설정

VPC 서비스 제어를 위한 Assured OSS 지원 구성 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

시작하기 전에

Assured OSS 저장소에서 바이너리를 다운로드할 때 이그레스 규칙 구성

Assured OSS 버킷에서 보안 메타데이터에 액세스할 때 이그레스 규칙 구성

Pub/Sub 알림 설정 시 이그레스 규칙 구성

다음 단계

VPC 서비스 제어를 위한 Assured OSS 지원 구성