O VPC Service Controls permite definir um perímetro de segurança em torno do serviço de integração da Apigee do Google Cloud. Com o perímetro de segurança ao redor do serviço, é possível restringir os dados em uma VPC e reduzir os riscos de exfiltração de dados. Se você ainda não conhece o VPC Service Controls, é recomendável ler as seguintes informações:
- Visão geral do VPC Service Controls
- Detalhes e configuração de perímetro de serviço
- Conceder acesso ao VPC Service Controls
Neste documento, descrevemos como configurar um perímetro do VPC Service Controls para o serviço de integração da Apigee. Depois de configurar o perímetro, configure as políticas de saída e de entrada que determinam quais outros serviços do Google Cloud podem acessar o serviço de integração (integrations.googleapis.com) da Apigee e, inversamente, quais serviços o serviço de integração com a Apigee pode acessar.
Antes de começar
Verifique se você tem as permissões necessárias para configurar os perímetros de serviço. Para conferir uma lista de papéis do IAM necessários para configurar o VPC Service Controls, consulte Controle de acesso com o IAM na documentação do VPC Service Controls.
Criar um perímetro de serviço de VPC
Para criar um perímetro de serviço de VPC, use o comando Google Cloud console, gcloud ou a API accessPolicies.servicePerimeters.create.
Para mais informações, consulte Criar um perímetro de serviço.
Para criar um perímetro do VPC Service Controls, dê acesso ao usuário usando os comandos gcloud, execute o seguinte comando:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
Substitua:
PERIMETER_TITLE: o nome do perímetro do VPC Service ControlsPROJECT_ID: o projeto em que você quer adicionar o perímetro do VPC Service Controls.
O comando anterior leva algum tempo para ser concluído. O perímetro do VPC Service Controls restringe os serviços de integração do projeto ao usar os serviços de integração da Apigee.
Para permitir que todos os endereços IP, contas de serviço ou usuários usem a integração da Apigee, use as regras de entrada e saída. O serviço VPC Service Controls usa regras de entrada e saída para permitir acesso de e para recursos e clientes protegidos por perímetros de serviço.
Adicionar política de saída a um perímetro de serviço
Para adicionar uma política de saída a um perímetro de serviço atual,
use o comando gcloud access-context-manager
perimeters update. Por exemplo, o comando a seguir adiciona uma política de saída definida
no arquivo vpcsc-egress.yaml a um perímetro de serviço que já existe chamado integrationPerimeter:
gcloud access-context-manager perimeters update integrationPerimeter
--set-egress-policies=vpcsc-egress.yaml
De maneira semelhante a uma política de saída, também é possível definir uma política de entrada. Para aprender a especificar regras de entrada, consulte Referência de regras de entrada.
Verificar o perímetro
Para verificar o perímetro, use o comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Por exemplo, o comando a seguir descreve o perímetro integrationPerimeter:
gcloud access-context-manager perimeters describe integrationPerimeter
Para mais informações sobre o gerenciamento de perímetros de serviço, consulte Como gerenciar perímetros de serviço.
Considerações
Se você ativou o perímetro de serviço da VPC para o serviço de integração da Apigee, não será possível usar as seguintes tarefas nas suas integrações: