이 페이지는 Cloud Translation API를 통해 번역되었습니다.

VM Threat Detection이 VPC 서비스 제어 경계에 액세스하도록 허용

이 문서에서는 가상 머신 위협 감지가 VPC 서비스 제어 경계에서 VM을 검사할 수 있도록 인그레스 및 이그레스 규칙을 추가하는 방법을 설명합니다. 조직에서 VPC 서비스 제어를 사용하여 VM 위협 감지에서 검사할 프로젝트의 서비스를 제한하는 경우 이 작업을 실행하세요. VM Threat Detection에 대한 자세한 내용은 VM Threat Detection 개요를 참고하세요.

시작하기 전에

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the organization.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
IAM으로 이동
조직을 선택합니다.
액세스 권한 부여를 클릭합니다.
새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.
역할 선택 목록에서 역할을 선택합니다.
역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
저장을 클릭합니다.

이그레스 및 인그레스 규칙 만들기

VM Threat Detection이 VPC 서비스 제어 경계의 VM을 스캔하도록 허용하려면 해당 경계에 필요한 이그레스 및 인그레스 규칙을 추가하세요. VM Threat Detection으로 스캔하려는 각 경계에 대해 다음 단계를 수행합니다.

자세한 내용은 VPC 서비스 제어 문서의 서비스 경계에 대한 인그레스 및 이그레스 정책 업데이트를 참고하세요.

콘솔

Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

VPC 서비스 제어로 이동
조직 또는 프로젝트를 선택합니다.
조직을 선택한 경우 액세스 정책 선택을 클릭한 다음 업데이트하려는 경계와 연결된 액세스 정책을 선택합니다.
업데이트하려는 경계의 이름을 클릭합니다.

수정해야 하는 서비스 경계를 찾으려면 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 위반을 표시하는 항목의 로그를 확인하면 됩니다. 해당 항목에서 servicePerimeterName 필드를 확인합니다.
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
경계 수정을 클릭합니다.
이그레스 정책을 클릭합니다.
이그레스 규칙 추가를 클릭합니다.
FROM 섹션에서 다음 세부정보를 설정합니다.
1. ID에서 ID 및 그룹 선택을 선택합니다.
2. ID 추가를 클릭합니다.
3. Security Center 서비스 에이전트의 이메일 주소를 입력합니다. 서비스 에이전트 주소의 형식은 다음과 같습니다.
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  ORGANIZATION_ID를 조직 ID로 바꿉니다.
4. 서비스 에이전트를 선택하거나 Enter 키를 누른 후 ID 추가를 클릭합니다.
TO 섹션에서 다음 세부정보를 설정합니다.
1. 프로젝트에 모든 프로젝트를 선택합니다.
2. 작업 또는 IAM 역할에서 작업 선택을 선택합니다.
3. 작업 추가를 클릭한 후 다음 작업을 추가합니다.
  - compute.googleapis.com 서비스를 추가합니다.
    1. 메서드 선택을 클릭합니다.
    2. DisksService.Insert 메서드를 선택합니다.
    3. 선택한 메서드 추가를 클릭합니다.
인그레스 정책을 클릭합니다.
인그레스 규칙 추가를 클릭합니다.
FROM 섹션에서 다음 세부정보를 설정합니다.
1. ID에서 ID 및 그룹 선택을 선택합니다.
2. ID 추가를 클릭합니다.
3. Security Center 서비스 에이전트의 이메일 주소를 입력합니다. 서비스 에이전트 주소의 형식은 다음과 같습니다.
```
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
```
  ORGANIZATION_ID를 조직 ID로 바꿉니다.
4. 서비스 에이전트를 선택하거나 Enter 키를 누른 후 ID 추가를 클릭합니다.
5. 소스에서 모든 소스를 선택합니다.
TO 섹션에서 다음 세부정보를 설정합니다.
1. 프로젝트에 모든 프로젝트를 선택합니다.
2. 작업 또는 IAM 역할에서 작업 선택을 선택합니다.
3. 작업 추가를 클릭한 후 다음 작업을 추가합니다.
  - compute.googleapis.com 서비스를 추가합니다.
    1. 메서드 선택을 클릭합니다.
    2. 다음 방법을 선택합니다.
      - DisksService.Insert
      - InstancesService.AggregatedList
      - InstancesService.List
    3. 선택한 메서드 추가를 클릭합니다.
저장을 클릭합니다.

gcloud

할당량 프로젝트가 아직 설정되지 않은 경우 설정합니다. Access Context Manager API가 사용 설정된 프로젝트를 선택합니다.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
QUOTA_PROJECT_ID를 결제 및 할당량에 사용하려는 프로젝트의 ID로 바꿉니다.

다음 콘텐츠로 egress-rule.yaml라는 파일을 만듭니다.

- egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

ORGANIZATION_ID를 조직 ID로 바꿉니다.

다음 콘텐츠로 ingress-rule.yaml라는 파일을 만듭니다.

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'