Esta página foi traduzida pela API Cloud Translation.

Configure os VPC Service Controls para os Integration Connectors

Os VPC Service Controls permitem-lhe definir um perímetro de segurança em torno do serviço Google Cloud Integration Connectors. Com o perímetro de segurança em torno do seu serviço, pode restringir os dados a um perímetro dos VPC Service Controls e mitigar os riscos de exfiltração de dados. Se ainda não conhece os VPC Service Controls, recomendamos que consulte as seguintes informações:

Este documento descreve como restringir o acesso ao serviço Integration Connectors (connectors.googleapis.com) através do perímetro dos VPC Service Controls. Depois de configurar o perímetro, pode configurar políticas que determinam a que outros serviços ou utilizadores do Google Cloud o serviço connectors.googleapis.com pode aceder.

Considerações

Se a sua ligação estiver a estabelecer ligação a um recurso do Google Cloud, esse recurso tem de estar acessível a partir do perímetro dos VPC Service Controls.
Se tiver ligações existentes a um ponto final público, antes de configurar o perímetro dos VPC Service Controls, certifique-se de que essas ligações usam a associação do PSC (Private Service Connect) para ligar os sistemas de back-end. Sem a associação do PSC, as ligações existentes a um ponto final público falham depois de configurar o perímetro dos VPC Service Controls.
Se a sua ligação estiver a estabelecer ligação a um recurso não pertencente ao Google Cloud, o destino da ligação deve ser uma associação do PSC. As associações criadas sem o anexo do PSC falham.
Se estiver a configurar um perímetro dos VPC Service Controls para o seu projeto do Google Cloud, tem de ativar a conetividade privada para que as subscrições de eventos usem a funcionalidade de subscrição de eventos para o projeto.

Antes de começar

Certifique-se de que tem as autorizações necessárias para configurar perímetros dos VPC Service Controls. Para ver uma lista das funções da IAM necessárias para configurar os VPC Service Controls, consulte o artigo Controlo de acesso com a IAM na documentação dos VPC Service Controls.

Crie um perímetro dos VPC Service Controls

Para criar um perímetro dos VPC Service Controls, pode usar o comando Google Cloud console, ou gcloud, ou a API accessPolicies.servicePerimeters.create. Para mais informações, consulte o artigo Crie um perímetro de serviço.

Os passos seguintes mostram como criar um perímetro do VPC Service Controls com um acesso de utilizador ativado através dos comandos gcloud.

Crie um ficheiro access.yaml com os detalhes do utilizador que tem autorização para aceder ao perímetro. Por exemplo:
```
- members:
    - user:USER_EMAIL
```
Obtenha o ID da política de acesso da sua organização através do seguinte comando:

gcloud access-context-manager policies list --organization=ORGANIZATION_ID

Este comando lista todas as políticas da organização. Na lista, selecione a política para a qual quer criar o perímetro dos VPC Service Controls.

Pode ver o ID do recurso da sua organização através da Google Cloud Console. Para mais informações, consulte o artigo Obtenha o ID do recurso da sua organização.

Crie um nível de acesso para o utilizador.

gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
--title "CUSTOM_TITLE" \
--basic-level-spec access.yaml \
--policy=POLICY_ID

Neste comando, POLICY_ID é o valor que obteve no passo anterior.

Nas definições globais do projeto do Google Cloud, defina o valor do atributo vpcsc como true.

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": true}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

Este comando devolve um ID da operação e inicia uma operação de longa duração (LRO) que pode demorar algum tempo a ser concluída. Aguarde a conclusão da LRO. Pode acompanhar o progresso da operação através do seguinte comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID

Crie o perímetro dos VPC Service Controls e conceda acesso ao utilizador.

gcloud access-context-manager perimeters create PERIMETER_NAME \
--title="PERIMETER_TITLE" \
--resources=projects/PROJECT_ID \
--restricted-services=connectors.googleapis.com \
--access_levels=ACCESS_LEVEL_NAME

Este comando demora algum tempo a ser concluído, durante o qual pode executar outras tarefas num novo terminal.

Se quiser atualizar o nível de acesso e adicionar o serviço connectors.googleapis.com a um perímetro existente, execute o seguinte comando:

gcloud access-context-manager perimeters update PERIMETER_NAME \
--add-restricted-services="connectors.googleapis.com" \
--add-access-levels=ACCESS_LEVEL_NAME \
--policy=POLICY_ID

Valide o seu perímetro

Para validar o perímetro, use o comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Por exemplo:

gcloud access-context-manager perimeters describe PERIMETER_NAME

Para mais informações, consulte o artigo Faça a gestão dos perímetros de serviço.

Remova um projeto do perímetro dos VPC Service Controls

Para remover o seu projeto do Google Cloud do perímetro dos VPC Service Controls, siga estes passos:

Nas definições globais do projeto do Google Cloud, defina o valor do atributo vpcsc como false.

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": false}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID

Remova o seu projeto do perímetro dos VPC Service Controls.

gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME

O que se segue?

Saiba como o VPC Service Controls protege os seus dados.