VPC Service Controls für Integration Connectors einrichten
Mit VPC Service Controls können Sie einen Sicherheitsbereich für den Google Cloud-Dienst von Integration Connectors definieren. Mit dem Sicherheitsbereich um Ihren Dienst können Sie Daten auf einen VPC Service Controls-Perimeter beschränken und das Risiko der Daten-Exfiltration minimieren. Wenn Sie noch nicht mit VPC Service Controls vertraut sind, sollten Sie die folgenden Informationen lesen:
- VPC Service Controls
- Details und Konfiguration von Dienstperimetern
- Zugriff auf VPC Service Controls gewähren
In diesem Dokument wird beschrieben, wie Sie den Zugriff auf den Integration Connectors-Dienst (connectors.googleapis.com
) mithilfe des VPC Service Controls-Perimeters einschränken. Nachdem Sie den Perimeter eingerichtet haben, können Sie Richtlinien konfigurieren, die festlegen, welche anderen Google Cloud-Dienste oder Nutzer auf den connectors.googleapis.com
-Dienst zugreifen können.
Hinweise
- Wenn Ihre Verbindung zu einer Google Cloud-Ressource hergestellt wird, muss diese innerhalb des VPC Service Controls-Perimeters zugänglich sein.
- Wenn Sie bereits Verbindungen zu einem öffentlichen Endpunkt haben, müssen Sie vor dem Einrichten des VPC Service Controls-Perimeters dafür sorgen, dass solche Verbindungen den PSC-Anhang (Private Service Connect) verwenden, um die Back-End-Systeme zu verbinden. Ohne den PSC-Anhang schlagen vorhandene Verbindungen zu einem öffentlichen Endpunkt nach dem Einrichten des VPC Service Controls-Perimeters fehl.
- Wenn die Verbindung zu einer Ressource hergestellt wird, die nicht zu Google Cloud gehört, sollte das Ziel der Verbindung ein PSC-Anhang sein. Verbindungen, die ohne das PSC-Angriff erstellt wurden, schlagen fehl.
- Wenn Sie einen VPC Service Controls-Perimeter für Ihr Google Cloud-Projekt einrichten, können Sie das Abo-Feature für Ereignisse für dieses Projekt nicht verwenden.
Hinweise
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Konfigurieren von VPC Service Controls-Perimetern haben. Eine Liste der IAM-Rollen, die zum Konfigurieren von VPC Service Controls erforderlich sind, finden Sie unter Zugriffssteuerung mit IAM in der Dokumentation zu VPC Service Controls.VPC Service Controls-Perimeter erstellen
Zum Erstellen eines VPC Service Controls-Perimeters können Sie entweder den Befehl Google Cloud console
, den Befehl gcloud
oder die API accessPolicies.servicePerimeters.create verwenden.
Weitere Informationen finden Sie unter Dienstperimeter aktualisieren.
In den folgenden Schritten wird gezeigt, wie Sie mithilfe der gcloud
-Befehle einen VPC Service Controls-Perimeter mit aktiviertem Nutzerzugriff erstellen.
- Erstellen Sie eine
access.yaml
-Datei mit den Details des Nutzers, der auf den Perimeter zugreifen darf. Beispiel:- members: - user:USER_EMAIL
- Rufen Sie die Zugriffsrichtlinien-ID Ihrer Organisation mit dem folgenden Befehl ab:
- Zugriffsebene für den Nutzer erstellen
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
In diesem Befehl ist POLICY_ID der Wert, den Sie im vorherigen Schritt erhalten haben.
- Legen Sie in den globalen Einstellungen Ihres Google Cloud-Projekts den Wert des Attributs
vpcsc
auftrue
fest.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings
Dieser Befehl gibt eine Vorgangs-ID zurück und startet einen Vorgang mit langer Ausführungszeit (Long-Running Operation, LRO), der einige Zeit in Anspruch nehmen kann. Warten Sie, bis der Vorgang abgeschlossen ist. Sie können den Fortschritt des Vorgangs mit dem folgenden Befehl verfolgen:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- VPC Service Controls-Perimeter erstellen und dem Nutzer Zugriff gewähren
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
Die Ausführung dieses Befehls dauert einige Zeit. Währenddessen können Sie andere Aufgaben in einem neuen Terminal ausführen.
Wenn Sie die Zugriffsebene aktualisieren und den Dienstconnectors.googleapis.com
einem vorhandenen Perimeter hinzufügen möchten, führen Sie den folgenden Befehl aus:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Mit diesem Befehl werden alle Richtlinien für die Organisation aufgelistet. Wählen Sie aus der Liste die Richtlinie aus, für die Sie den VPC Service Controls-Perimeter erstellen möchten.
Sie können die Ressourcen-ID Ihrer Organisation über die Google Cloud Console aufrufen. Weitere Informationen finden Sie unter Ressourcen-ID Ihrer Organisation abrufen.
Perimeter prüfen
Verwenden Sie den Befehl gcloud access-context-manager perimeters describe PERIMETER_NAME, um den Perimeter zu prüfen. Beispiel:
gcloud access-context-manager perimeters describe PERIMETER_NAME
Weitere Informationen finden Sie unter Dienstperimeter verwalten.
Projekt aus dem VPC Service Controls-Perimeter entfernen
Führen Sie die folgenden Schritte aus, um Ihr Google Cloud-Projekt aus dem VPC Service Controls-Perimeter zu entfernen:
- Legen Sie in den globalen Einstellungen Ihres Google Cloud-Projekts den Wert des Attributs
vpcsc
auffalse
fest.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings
Dieser Befehl gibt eine Vorgangs-ID zurück und startet einen Vorgang mit langer Ausführungszeit (Long-Running Operation, LRO), der einige Zeit in Anspruch nehmen kann. Warten Sie, bis der Vorgang abgeschlossen ist. Sie können den Fortschritt des Vorgangs mit dem folgenden Befehl verfolgen:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Entfernen Sie das Projekt aus dem VPC Service Controls-Perimeter.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME