Configurazione di Controlli di servizio VPC per Integration Connectors
Controlli di servizio VPC consente di definire un perimetro di sicurezza attorno al servizio Google Cloud di Integration Connectors. Con il perimetro di sicurezza attorno al tuo servizio, puoi limitare i dati all'interno di un perimetro dei Controlli di servizio VPC e mitigare i rischi di esfiltrazione di dati. Se non hai già familiarità con i Controlli di servizio VPC, ti consigliamo di consultare le seguenti informazioni:
- Panoramica dei Controlli di servizio VPC
- Dettagli e configurazione dei perimetri di servizio
- Concedi l'accesso ai Controlli di servizio VPC
Questo documento descrive come limitare l'accesso al servizio Integration Connectors (connectors.googleapis.com)
utilizzando il perimetro dei Controlli di servizio VPC. Dopo aver configurato il perimetro, puoi configurare criteri che determinano quali altri utenti o servizi Google Cloud possono accedere al servizio connectors.googleapis.com.
Considerazioni
- Se la connessione si connette a una risorsa Google Cloud, questa deve essere accessibile dall'interno del perimetro dei Controlli di servizio VPC.
- Se esistono già connessioni a un endpoint pubblico, prima di configurare il perimetro dei Controlli di servizio VPC, assicurati che queste connessioni utilizzino il collegamento PSC (Private Service Connect) per connettere i sistemi di backend. Senza il collegamento PSC, le connessioni esistenti a un endpoint pubblico non riusciranno dopo che avrai configurato il perimetro dei Controlli di servizio VPC.
- Se la connessione si connette a una risorsa non Google Cloud, la destinazione deve essere un collegamento PSC. Le connessioni create senza l'attacco PSC non andranno a buon fine.
- Se stai configurando un perimetro dei Controlli di servizio VPC per il tuo progetto Google Cloud, non puoi utilizzare la funzionalità di sottoscrizione agli eventi per il progetto.
Prima di iniziare
Assicurati di disporre delle autorizzazioni necessarie per configurare i perimetri dei Controlli di servizio VPC. Per visualizzare un elenco dei ruoli IAM necessari per configurare i Controlli di servizio VPC, consulta Controllo dell'accesso con IAM nella documentazione dei Controlli di servizio VPC.Crea un perimetro dei Controlli di servizio VPC
Per creare un perimetro dei Controlli di servizio VPC, puoi utilizzare il comando Google Cloud console, gcloud oppure l'API accessPolicies.servicePerimeters.create.
Per saperne di più, vedi Creare un perimetro di servizio.
I passaggi seguenti mostrano come creare un perimetro dei Controlli di servizio VPC in cui è abilitato l'accesso utente utilizzando i comandi gcloud.
- Crea un file
access.yamlcon i dettagli dell'utente a cui è consentito accedere al perimetro. Ad esempio:- members: - user:USER_EMAIL - Recupera l'ID del criterio di accesso della tua organizzazione utilizzando il seguente comando:
- Crea il livello di accesso per l'utente.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
In questo comando, POLICY_ID, è il valore ottenuto dal passaggio precedente.
- Nelle impostazioni globali del progetto Google Cloud, imposta il valore dell'attributo
vpcscsutrue.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsQuesto comando restituisce un ID operazione e avvia un'operazione a lunga esecuzione (LRO), il cui completamento potrebbe richiedere del tempo. Attendi il completamento dell'LRO. Puoi tenere traccia dell'avanzamento dell'operazione utilizzando il seguente comando:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Crea il perimetro dei Controlli di servizio VPC e fornisci l'accesso all'utente.
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
Il completamento di questo comando richiede un po' di tempo, durante il quale puoi eseguire altre attività in un nuovo terminale.
Se vuoi aggiornare il livello di accesso e aggiungere il servizioconnectors.googleapis.coma un perimetro esistente, esegui questo comando:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Questo comando elenca tutti i criteri per l'organizzazione. Seleziona nell'elenco il criterio per cui vuoi creare il perimetro dei Controlli di servizio VPC.
Puoi visualizzare l'ID risorsa della tua organizzazione utilizzando la console Google Cloud. Per maggiori informazioni, vedi Ottenere l'ID risorsa dell'organizzazione.
Verifica il tuo perimetro
Per verificare il perimetro, utilizza il comando gcloud access-context-manager perimetros describe PERIMETER_NAME. Ad esempio:
gcloud access-context-manager perimeters describe PERIMETER_NAME
Per maggiori informazioni, consulta Gestione dei perimetri di servizio.
Rimuovi un progetto dal perimetro dei Controlli di servizio VPC
Per rimuovere il progetto Google Cloud dal perimetro dei Controlli di servizio VPC, segui questi passaggi:
- Nelle impostazioni globali del progetto Google Cloud, imposta il valore dell'attributo
vpcscsufalse.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsQuesto comando restituisce un ID operazione e avvia un'operazione a lunga esecuzione (LRO), il cui completamento potrebbe richiedere del tempo. Attendi il completamento dell'LRO. Puoi tenere traccia dell'avanzamento dell'operazione utilizzando il seguente comando:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Rimuovi il progetto dal perimetro dei Controlli di servizio VPC.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME