Configura Controlli di servizio VPC per Integration Connectors
I Controlli di servizio VPC ti consentono di definire un perimetro di sicurezza attorno al servizio Google Cloud Integration Connectors. Con il perimetro di sicurezza attorno al tuo servizio, puoi limitare i dati all'interno di un perimetro dei Controlli di servizio VPC e mitigare i rischi di esfiltrazione di dati. Se non hai ancora familiarità con i Controlli di servizio VPC, ti consigliamo di esaminare le seguenti informazioni:
- Panoramica dei Controlli di servizio VPC
- Dettagli e configurazione dei perimetri di servizio
- Concedere l'accesso ai Controlli di servizio VPC
Questo documento descrive come limitare l'accesso al servizio Integration Connectors (connectors.googleapis.com)
utilizzando il perimetro di Controlli di servizio VPC. Dopo aver configurato il perimetro,
puoi configurare criteri che determinano quali altre
I servizi o gli utenti di Google Cloud possono accedere al servizio connectors.googleapis.com.
Considerazioni
- Se la connessione si connette a una risorsa Google Cloud, questa deve essere accessibili dall'interno del perimetro dei Controlli di servizio VPC.
- Se hai già delle connessioni a un endpoint pubblico, prima di configurare Perimetro dei Controlli di servizio VPC, assicurati che queste connessioni utilizzino PSC (Private Service Connect) per connettere i sistemi di backend. Senza il collegamento PSC, le connessioni esistenti a un endpoint pubblico non andranno a buon fine dopo aver configurato il perimetro di Controlli di servizio VPC.
- Se la connessione si connette a una risorsa non Google Cloud, la destinazione della connessione deve essere un allegato PSC. Le connessioni create senza l'attacco PSC non andranno a buon fine.
- Se stai configurando un perimetro di Controlli di servizio VPC per il tuo progetto Google Cloud, non puoi utilizzare la funzionalità di sottoscrizione agli eventi per il progetto.
Prima di iniziare
Assicurati di disporre delle autorizzazioni necessarie per configurare i perimetri di Controlli di servizio VPC. Per visualizzare un elenco dei ruoli IAM necessari per configurare i Controlli di servizio VPC, consulta Controllo dell'accesso con IAM nella documentazione dei Controlli di servizio VPC.Crea un perimetro dei Controlli di servizio VPC
Per creare un perimetro dei Controlli di servizio VPC, puoi utilizzare Google Cloud console,
o il comando gcloud o l'API accessPolicies.servicePerimeters.create.
Per ulteriori informazioni, vedi Creare un perimetro di servizio.
I passaggi seguenti mostrano come creare un perimetro dei Controlli di servizio VPC con l'accesso utente abilitato utilizzando
i comandi gcloud.
- Crea un file
access.yamlcon i dettagli dell'utente autorizzato per accedere al perimetro. Ad esempio:- members: - user:USER_EMAIL
- Recupera l'ID del criterio di accesso della tua organizzazione utilizzando il seguente comando:
- Crea il livello di accesso per l'utente.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
In questo comando, POLICY_ID è il valore ottenuto dal passaggio precedente.
- Nelle impostazioni globali del progetto Google Cloud, imposta il valore dell'attributo
vpcscsutrue.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsQuesto comando restituisce un ID operazione e avvia un'operazione a lunga esecuzione (LRO) che potrebbe richiedere del tempo per essere completata. Attendi il completamento dell'LRO. Puoi monitorare l'avanzamento dell'operazione utilizzando il seguente comando:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Crea il perimetro dei Controlli di servizio VPC e fornisci l'accesso all'utente.
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
Il completamento di questo comando richiede del tempo, durante il quale puoi eseguire altre attività in un nuovo o nel terminale.
Se vuoi aggiornare il livello di accesso e aggiungere il servizioconnectors.googleapis.coma un perimetro esistente, esegui il seguente comando:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Questo comando elenca tutti i criteri per l'organizzazione. Dall'elenco, seleziona il criterio per il quale vuoi creare il perimetro dei Controlli di servizio VPC.
Puoi visualizzare l'ID risorsa della tua organizzazione utilizzando la console Google Cloud. Per ulteriori informazioni, consulta Recupero dell'ID risorsa dell'organizzazione.
Verifica il perimetro
Per verificare il perimetro, utilizza il comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Ad esempio:
gcloud access-context-manager perimeters describe PERIMETER_NAME
Per ulteriori informazioni, vedi Gestione dei perimetri di servizio.
Rimuovi un progetto dal perimetro dei Controlli di servizio VPC
Per rimuovere il progetto Google Cloud dal perimetro di VPC Service Controls:
- Nelle impostazioni globali del progetto Google Cloud, imposta il valore dell'attributo
vpcscsufalse.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsQuesto comando restituisce un ID operazione e avvia un'operazione a lunga esecuzione (LRO) che potrebbe richiedere del tempo per essere completata. Attendi il completamento dell'LRO. Puoi monitorare l'avanzamento dell'operazione utilizzando il seguente comando:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Rimuovi il progetto dal perimetro dei Controlli di servizio VPC.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME