Configura los Controles del servicio de VPC para Integration Connectors

Los Controles del servicio de VPC permiten definir un perímetro de seguridad el servicio Integration Connectors de Google Cloud. Con el perímetro de seguridad alrededor de tu servicio, puedes restringir los datos dentro de un perímetro de Controles del servicio de VPC y mitigar los riesgos de robo de datos. Si aún no estás familiarizado con los Controles del servicio de VPC, te recomendamos que revises la siguiente información:

En este documento, se describe cómo restringir el acceso al servicio de Integration Connectors (connectors.googleapis.com) con el perímetro de los Controles del servicio de VPC. Después de configurar el perímetro, puedes configurar políticas que determinen qué otros servicios o usuarios de Google Cloud pueden acceder al servicio de connectors.googleapis.com.

Consideraciones

  • Si tu conexión se conecta a un recurso de Google Cloud, ese recurso debe desde el perímetro de los Controles del servicio de VPC.
  • Si tienes conexiones existentes a un extremo público, antes de configurar el perímetro de los Controles del servicio de VPC, asegúrate de que esas conexiones usen el archivo adjunto de PSC (Private Service Connect) para conectar los sistemas de backend. Sin el adjunto de PSC, las conexiones existentes a un extremo público fallará después de que configures el perímetro de los Controles del servicio de VPC.
  • Si tu conexión se conecta a un recurso ajeno a Google Cloud, el destino del debe ser un archivo adjunto de PSC. Fallarán las conexiones creadas sin el adjunto de PSC.
  • Si configuras un perímetro de Controles del servicio de VPC para tu proyecto de Google Cloud, no puedes usar la función de suscripción al evento para el proyecto.

Antes de comenzar

Asegúrate de tener los permisos necesarios para configurar los perímetros de los Controles del servicio de VPC. Si deseas ver una lista de las funciones de IAM necesarias para configurar los Controles del servicio de VPC, consulta Control de acceso con IAM en la documentación de los Controles del servicio de VPC.

Crea un perímetro de Controles del servicio de VPC

Para crear un perímetro de Controles del servicio de VPC, puedes usar Google Cloud console, o con el comando gcloud o la API accessPolicies.servicePerimeters.create. Para obtener más información, consulta Crea un perímetro de servicio.

En los siguientes pasos, se muestra cómo crear un perímetro de los Controles del servicio de VPC con un acceso de usuario habilitado mediante los comandos gcloud

  1. Crea un archivo access.yaml con los detalles del usuario que tiene permiso para acceder al perímetro. Por ejemplo:
    - members:
        - user:USER_EMAIL
  2. Obtén el ID de la política de acceso de tu organización con el siguiente comando:
  3. gcloud access-context-manager policies list --organization=ORGANIZATION_ID

    Este comando enumera todas las políticas de la organización. En la lista, selecciona la política para la que quieres crear el perímetro de los Controles del servicio de VPC.

    Puedes ver el ID de recurso de tu organización con la consola de Google Cloud. Para obtener más información, consulta Obtén el ID de recurso de tu organización.

  4. Crea el nivel de acceso del usuario.
    gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
    --title "CUSTOM_TITLE" \
    --basic-level-spec access.yaml \
    --policy=POLICY_ID

    En este comando, POLICY_ID es el valor que obtuviste en el paso anterior.

  5. En la configuración global del proyecto de Google Cloud, establece el valor del atributo vpcsc en true.
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"vpcsc": true}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

    Este comando devuelve un ID de operación e inicia una operación de larga duración (LRO), puede tardar un tiempo en completarse. Espera a que se complete la LRO. Puedes realizar un seguimiento del progreso la operación con el siguiente comando:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
  6. Crea el perímetro de Controles del servicio de VPC y proporciona acceso al usuario.
    gcloud access-context-manager perimeters create PERIMETER_NAME \
    --title="PERIMETER_TITLE" \
    --resources=projects/PROJECT_ID \
    --restricted-services=connectors.googleapis.com \
    --access_levels=ACCESS_LEVEL_NAME

    Este comando tarda un tiempo en completarse, durante el cual puedes ejecutar otras tareas en una terminal nueva.

    Si deseas actualizar el nivel de acceso y agregar el servicio connectors.googleapis.com a en un perímetro existente, ejecuta el siguiente comando:
    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --add-restricted-services="connectors.googleapis.com" \
    --add-access-levels=ACCESS_LEVEL_NAME \
    --policy=POLICY_ID

Verifica tu perímetro

Para verificar el perímetro, usa el comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Por ejemplo:

gcloud access-context-manager perimeters describe PERIMETER_NAME

Para obtener más información, consulta Administra perímetros de servicio.

Quita un proyecto del perímetro de los Controles del servicio de VPC

Para quitar tu proyecto de Google Cloud del perímetro de los Controles del servicio de VPC, sigue estos pasos:

  1. En la configuración global de tu proyecto de Google Cloud, establece el valor del atributo vpcsc en false.
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"vpcsc": false}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

    Este comando devuelve un ID de operación e inicia una operación de larga duración (LRO), puede tardar un tiempo en completarse. Espera a que se complete la LRO. Puedes hacer un seguimiento del progreso de la operación con el siguiente comando:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
  2. Quita tu proyecto del perímetro de los Controles del servicio de VPC.
    gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME

¿Qué sigue?

Obtén información sobre cómo los Controles del servicio de VPC protegen tus datos.