Controlli di servizio VPC consente di definire un perimetro di sicurezza il servizio Google Cloud di Apigee Integration. Con la sicurezza attorno al tuo servizio, puoi limitare i dati all'interno di un VPC e ridurre i rischi di esfiltrazione di dati. Se non lo conosci già con i Controlli di servizio VPC, ti consigliamo di tramite le seguenti informazioni:
- Panoramica dei Controlli di servizio VPC
- Dettagli e configurazione dei perimetri di servizio
- Concedi l'accesso ai Controlli di servizio VPC
Questo documento descrive come configurare un perimetro dei Controlli di servizio VPC per Servizio di Apigee Integration. Dopo aver configurato il perimetro, puoi configurare criteri in entrata e in uscita che determinano quali altre I servizi Google Cloud possono accedere al servizio di Apigee Integration (integrations.googleapis.com) e e al contrario dei servizi a cui può accedere il servizio Apigee Integration.
Prima di iniziare
Assicurati di disporre delle autorizzazioni necessarie per configurare i perimetri di servizio. Per visualizzare un elenco dei ruoli IAM necessari per configurare i Controlli di servizio VPC, consulta Controllo dell'accesso con IAM nella documentazione sui Controlli di servizio VPC.
Crea un perimetro di servizio VPC
Per creare un perimetro di servizio VPC, puoi utilizzare Google Cloud console,
o il comando gcloud o l'API accessPolicies.servicePerimeters.create.
Per saperne di più, consulta Creare un perimetro di servizio.
Per creare un perimetro dei Controlli di servizio VPC, per fornire l'accesso all'utente mediante i comandi gcloud, esegui questo comando:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
Sostituisci quanto segue:
PERIMETER_TITLE: il nome del perimetro dei Controlli di servizio VPCPROJECT_ID: il progetto per cui vuoi aggiungere il perimetro dei Controlli di servizio VPC
Il completamento del comando precedente richiede del tempo. Il perimetro dei Controlli di servizio VPC limita i servizi di integrazione per il progetto quando utilizzi i servizi di Apigee Integration.
Per consentire a qualsiasi indirizzo IP, account di servizio o utente di utilizzare Apigee Integration, utilizza le regole in entrata e in uscita. Controlli di servizio VPC utilizza le regole in entrata e in uscita per consentire l'accesso da e verso le risorse e i client protetti dai perimetri di servizio.
Aggiungi criterio in uscita a un perimetro di servizio esistente
Per aggiungere un criterio in uscita a un perimetro di servizio esistente,
utilizza gcloud access-context-manager
kubectl update. Ad esempio, il comando seguente aggiunge un criterio in uscita definito
nel file vpcsc-egress.yaml a un perimetro di servizio esistente denominato integrationPerimeter:
gcloud access-context-manager perimeters update integrationPerimeter
--set-egress-policies=vpcsc-egress.yaml
Analogamente a un criterio in uscita, puoi anche definire un criterio in entrata. Per scoprire di più su per specificare le regole in entrata, consulta Riferimento alle regole in entrata.
Verifica il perimetro
Per verificare il perimetro, utilizza gcloud access-context-manager domains describe PERIMETER_NAME
. Ad esempio, il seguente comando descrive il perimetro integrationPerimeter:
gcloud access-context-manager perimeters describe integrationPerimeter
Per saperne di più sulla gestione dei perimetri di servizio, consulta Gestione dei perimetri di servizio.
Condiderazioni
Se hai abilitato il perimetro di servizio VPC per il servizio Apigee Integration, non potrai utilizzare le seguenti attività nelle integrazioni: