Los Controles del servicio de VPC te permiten definir un perímetro de seguridad alrededor del servicio de Apigee Integration de Google Cloud. Con el perímetro de seguridad alrededor de tu servicio, puedes restringir los datos dentro de una VPC y mitigar los riesgos de robo de datos. Si aún no estás familiarizado con los Controles del servicio de VPC, te recomendamos que revises la siguiente información:
- Descripción general de los Controles del servicio de VPC
- Configuración y detalles del perímetro de servicio
- Otorga acceso a los Controles del servicio de VPC
En este documento, se describe cómo configurar un perímetro de Controles del servicio de VPC para el servicio de Apigee Integration. Después de configurar el perímetro, puedes configurar políticas de entrada y salida que determinen qué otros servicios de Google Cloud pueden acceder al servicio (integrations.googleapis.com) de Apigee Integration y, a la inversa, a qué servicios puede acceder el servicio de Apigee Integration.
Antes de comenzar
Asegúrate de tener los permisos necesarios para configurar los perímetros de servicio. Si deseas ver una lista de las funciones de IAM necesarias para configurar los Controles del servicio de VPC, consulta Control de acceso con IAM en la documentación de los Controles del servicio de VPC.
Crea un perímetro de servicio de VPC
Para crear un perímetro de servicio de VPC, puedes usar el comando Google Cloud console o gcloud, o la API accessPolicies.servicePerimeters.create.
Para obtener más información, consulta Crea un perímetro de servicio.
Para crear un perímetro de Controles del servicio de VPC para proporcionar acceso al usuario mediante los comandos de gcloud, ejecuta el siguiente comando:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
Reemplaza lo siguiente:PERIMETER_TITLE: el nombre del perímetro de los Controles del servicio de VPCPROJECT_ID: el proyecto al que deseas agregar el perímetro de los Controles del servicio de VPC.
El comando anterior tarda un poco en completarse. El perímetro de los Controles del servicio de VPC restringe los servicios de integración para tu proyecto cuando se usan los servicios de Apigee Integration.
Para permitir que cualquier dirección IP, cuenta de servicio o usuarios usen la integración de Apigee, usa las reglas de entrada y salida. Los Controles del servicio de VPC usan reglas de entrada y salida para permitir el acceso desde y hacia los recursos y los clientes protegidos por los perímetros de servicio.
Agrega una política de salida a un perímetro de servicio existente
Para agregar una política de salida a un perímetro de servicio existente, usa el comando gcloud access-context-manager perimeters update. Por ejemplo, el siguiente comando agrega una política de salida definida en el archivo vpcsc-egress.yaml a un perímetro de servicio existente llamado integrationPerimeter:
gcloud access-context-manager perimeters update integrationPerimeter
--set-egress-policies=vpcsc-egress.yaml
Al igual que con una política de salida, también puedes definir una política de entrada. Para obtener más información sobre cómo especificar reglas de entrada, consulta Referencia de las reglas de entrada.
Verifica tu perímetro
Para verificar el perímetro, usa el comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Por ejemplo, con el siguiente comando, se describe el perímetro integrationPerimeter:
gcloud access-context-manager perimeters describe integrationPerimeter
Para obtener más información sobre la administración de perímetros de servicio, consulta Administra perímetros de servicio.
Consideraciones
Si habilitaste el perímetro de servicio de VPC para el servicio de Apigee Integration, no podrás usar las siguientes tareas en tus integraciones: