VPC Service Controls vous permet de définir un périmètre de sécurité autour du service Google Cloud Apigee Integration. Avec le périmètre de sécurité autour de votre service, vous pouvez limiter les données au sein d'un VPC et réduire les risques d'exfiltration des données. Si vous ne connaissez pas encore VPC Service Controls, nous vous recommandons de lire les informations suivantes :
- Présentation de VPC Service Controls
- Périmètres de service : détails et configuration
- Accorder l'accès à VPC Service Controls
Ce document explique comment configurer un périmètre VPC Service Controls pour le service Apigee Integration. Une fois le périmètre configuré, vous pouvez configurer des règles de sortie et d'entrée qui déterminent les autres services Google Cloud pouvant accéder au service Apigee Integration (integrations.googleapis.com) et, à l'inverse, les services auxquels le service Apigee Integration peut accéder.
Avant de commencer
Assurez-vous de disposer des autorisations requises pour configurer des périmètres de service. Pour afficher la liste des rôles IAM requis pour configurer VPC Service Controls, consultez la page Contrôle des accès avec IAM dans la documentation de VPC Service Controls.
Créer un périmètre de service VPC
Pour créer un périmètre de service VPC, vous pouvez utiliser la commande Google Cloud console ou gcloud, ou l'API accessPolicies.servicePerimeters.create.
Pour en savoir plus, consultez la section Créer un périmètre de service.
Pour créer un périmètre VPC Service Controls afin d'accorder l'accès à l'utilisateur à l'aide des commandes gcloud, exécutez la commande suivante :
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
Remplacez les éléments suivants :
PERIMETER_TITLE: nom du périmètre VPC Service Controls.PROJECT_ID: projet pour lequel vous souhaitez ajouter le périmètre VPC Service Controls.
L'exécution de la commande précédente peut prendre un certain temps. Le périmètre VPC Service Controls limite les services d'intégration de votre projet lors de l'utilisation des services Apigee Integration.
Pour autoriser des adresses IP, des comptes de service ou des utilisateurs à utiliser Apigee Integration, utilisez les règles d'entrée et de sortie. Grâce à des règles d'entrée et de sortie, VPC Service Controls autorise l'accès vers et depuis des ressources et clients protégés par des périmètres de service.
Ajouter une règle de sortie à un périmètre de service existant
Pour ajouter une règle de sortie à un périmètre de service existant, utilisez la commande gcloud access-context-manager perimeters update. Par exemple, la commande suivante ajoute une règle de sortie définie dans le fichier vpcsc-egress.yaml à un périmètre de service existant nommé integrationPerimeter :
gcloud access-context-manager perimeters update integrationPerimeter
--set-egress-policies=vpcsc-egress.yaml
Comme pour une règle de sortie, vous pouvez également définir une règle d'entrée. Pour en savoir plus sur la spécification des règles d'entrée, consultez la documentation de référence sur les règles d'entrée.
Vérifier votre périmètre
Pour vérifier le périmètre, utilisez la commande gcloud access-context-manager perimeters describe PERIMETER_NAME. Par exemple, la commande suivante décrit le périmètre integrationPerimeter :
gcloud access-context-manager perimeters describe integrationPerimeter
Pour en savoir plus sur la gestion des périmètres de service, consultez la page Gérer les périmètres de service.
Points à considérer
Si vous avez activé le périmètre de service VPC pour le service Apigee Integration, vous ne pourrez pas utiliser les tâches suivantes dans vos intégrations :