Configurer VPC Service Controls pour les Integration Connectors
VPC Service Controls vous permet de définir un périmètre de sécurité autour du service Google Cloud Integration Connectors. Avec le périmètre de sécurité autour de votre service, vous pouvez limiter les données au sein d'un périmètre VPC Service Controls et réduire les risques d'exfiltration des données. Si vous ne connaissez pas encore VPC Service Controls, nous vous recommandons de lire les informations suivantes :
- Présentation de VPC Service Controls
- Périmètres de service : détails et configuration
- Accorder l'accès à VPC Service Controls
Ce document explique comment limiter l'accès au service Integration Connectors (connectors.googleapis.com) à l'aide du périmètre VPC Service Controls. Une fois le périmètre configuré, vous pouvez configurer des règles qui déterminent les autres services ou utilisateurs Google Cloud pouvant accéder au service connectors.googleapis.com.
Remarques
- Si votre connexion se connecte à une ressource Google Cloud, cette ressource doit être accessible depuis le périmètre de VPC Service Controls.
- Si vous disposez de connexions existantes à un point de terminaison public, avant de configurer le périmètre VPC Service Controls, assurez-vous que ces connexions utilisent le rattachement PSC (Private Service Connect) pour connecter les systèmes backend. Sans le rattachement PSC, les connexions existantes à un point de terminaison public échoueront une fois que vous aurez configuré le périmètre VPC Service Controls.
- Si votre connexion se connecte à une ressource autre que Google Cloud, la destination de la connexion doit être une pièce jointe PSC. Les connexions créées sans l'attachement du PSC échoueront.
- Si vous configurez un périmètre VPC Service Controls pour votre projet Google Cloud, vous ne pouvez pas utiliser la fonctionnalité d'abonnement aux événements pour le projet.
Avant de commencer
Assurez-vous de disposer des autorisations requises pour configurer des périmètres VPC Service Controls. Pour afficher la liste des rôles IAM requis pour configurer VPC Service Controls, consultez la page Contrôle des accès avec IAM dans la documentation de VPC Service Controls.Créer un périmètre VPC Service Controls
Pour créer un périmètre VPC Service Controls, vous pouvez utiliser la commande Google Cloud console ou gcloud, ou l'API accessPolicies.servicePerimeters.create.
Pour en savoir plus, consultez la section Créer un périmètre de service.
Les étapes suivantes montrent comment créer un périmètre VPC Service Controls avec un accès utilisateur activé à l'aide des commandes gcloud.
- Créez un fichier
access.yamlcontenant les informations de l'utilisateur autorisé à accéder au périmètre. Exemple :- members: - user:USER_EMAIL
- Obtenez l'ID de la stratégie d'accès de votre organisation à l'aide de la commande suivante:
- Créez un niveau d'accès pour l'utilisateur.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
Dans cette commande, POLICY_ID correspond à la valeur obtenue à l'étape précédente.
- Dans les paramètres globaux de votre projet Google Cloud, définissez la valeur de l'attribut
vpcscsurtrue.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsCette commande renvoie un ID d'opération et démarre une opération de longue durée (LRO), qui peut prendre un certain temps. Attendez la fin de l'analyse LRO. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Créez le périmètre VPC Service Controls et accordez l'accès à l'utilisateur.
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
L'exécution de cette commande prend un certain temps, pendant lequel vous pouvez exécuter d'autres tâches dans un nouveau terminal.
Si vous souhaitez mettre à jour le niveau d'accès et ajouter le serviceconnectors.googleapis.comà un périmètre existant, exécutez la commande suivante:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Cette commande liste toutes les règles de l'organisation. Dans la liste, sélectionnez la règle pour laquelle vous souhaitez créer le périmètre VPC Service Controls.
Vous pouvez afficher l'ID de ressource de votre organisation à l'aide de la console Google Cloud. Pour en savoir plus, consultez la section Obtenir l'ID de ressource de votre organisation.
Vérifier votre périmètre
Pour vérifier le périmètre, utilisez la commande gcloud access-context-manager perimeters describe PERIMETER_NAME. Exemple :
gcloud access-context-manager perimeters describe PERIMETER_NAME
Pour en savoir plus, consultez la page Gérer les périmètres de service.
Supprimer un projet du périmètre VPC Service Controls
Pour supprimer votre projet Google Cloud du périmètre VPC Service Controls, procédez comme suit:
- Dans les paramètres globaux de votre projet Google Cloud, définissez la valeur de l'attribut
vpcscsurfalse.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsCette commande renvoie un ID d'opération et démarre une opération de longue durée (LRO), qui peut prendre un certain temps. Attendez la fin de l'analyse LRO. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Supprimez votre projet du périmètre VPC Service Controls.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME