VPC Service Controls für Integration Connectors einrichten
Mit VPC Service Controls können Sie einen Sicherheitsbereich um den Google Cloud-Dienst von Integration Connectors definieren. Mit dem Sicherheitsbereich um Ihren Dienst können Sie Daten innerhalb eines VPC Service Controls-Perimeters einschränken und das Risiko einer Daten-Exfiltration minimieren. Wenn Sie noch nicht mit VPC Service Controls vertraut sind, sollten Sie die folgenden Informationen lesen:
- VPC Service Controls
- Details und Konfiguration von Dienstperimetern
- Zugriff auf VPC Service Controls gewähren
In diesem Dokument wird beschrieben, wie Sie den Zugriff auf den Integration Connectors-Dienst (connectors.googleapis.com) mithilfe des VPC Service Controls-Perimeters einschränken. Nachdem Sie den Perimeter eingerichtet haben, können Sie Richtlinien konfigurieren, die festlegen, welche anderen Google Cloud-Dienste oder Nutzer auf den connectors.googleapis.com-Dienst zugreifen können.
Hinweise
- Wenn Ihre Verbindung zu einer Google Cloud-Ressource hergestellt wird, muss auf diese Ressource innerhalb des VPC Service Controls-Perimeters zugegriffen werden können.
- Wenn Sie bereits Verbindungen zu einem öffentlichen Endpunkt haben, müssen Sie vor dem Einrichten des VPC Service Controls-Perimeters dafür sorgen, dass für diese Verbindungen der PSC-Anhang (Private Service Connect) verwendet wird, um die Backend-Systeme zu verbinden. Ohne den PSC-Anhang werden bestehende Verbindungen an einen öffentlichen Endpunkt schlägt fehl, nachdem Sie den VPC Service Controls-Perimeter eingerichtet haben.
- Wenn Ihre Verbindung zu einer nicht zu Google Cloud gehörenden Ressource hergestellt wird, sollte das Ziel der Verbindung ein PSC-Anhang sein. Verbindungen, die ohne den PSC-Anhang erstellt wurden, schlagen fehl.
- Wenn Sie einen VPC Service Controls-Perimeter für Ihr Google Cloud-Projekt einrichten, können Sie die Abofunktion für Ereignisse für das Projekt.
Hinweis
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Konfigurieren von VPC Service Controls-Perimetern haben. Eine Liste der IAM-Rollen, die zum Konfigurieren von VPC Service Controls erforderlich sind, finden Sie unter Zugriffssteuerung mit IAM in der Dokumentation zu VPC Service Controls.VPC Service Controls-Perimeter erstellen
Zum Erstellen eines VPC Service Controls-Perimeters können Sie entweder Google Cloud console,
gcloud oder der API accessPolicies.servicePerimeters.create
Weitere Informationen finden Sie unter Dienstperimeter aktualisieren.
In den folgenden Schritten wird gezeigt, wie Sie einen VPC Service Controls-Perimeter mit aktiviertem Nutzerzugriff mithilfe von
die gcloud-Befehle.
- Erstellen Sie eine
access.yaml-Datei mit den Details des Nutzers, der auf den Perimeter zugreifen darf. Beispiel:- members: - user:USER_EMAIL
- Rufen Sie die Zugriffsrichtlinien-ID Ihrer Organisation mit dem folgenden Befehl ab:
- Erstellen Sie eine Zugriffsebene für den Nutzer.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
In diesem Befehl ist POLICY_ID der Wert, den Sie im vorherigen Schritt erhalten haben.
- Legen Sie in den globalen Einstellungen Ihres Google Cloud-Projekts den Wert des Attributs
vpcscauftruefest.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsDieser Befehl gibt eine Vorgangs-ID zurück und startet einen Vorgang mit langer Ausführungszeit, der einige Zeit dauern kann. Warten Sie, bis der Vorgang mit langer Ausführungszeit abgeschlossen ist. Sie können den Fortschritt des Vorgangs mit dem folgenden Befehl verfolgen:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Erstellen Sie den VPC Service Controls-Perimeter und gewähren Sie dem Nutzer Zugriff.
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
Die Ausführung dieses Befehls dauert einige Zeit. Währenddessen können Sie andere Aufgaben in einem neuen .
Wenn Sie die Zugriffsebene aktualisieren und den Dienstconnectors.googleapis.comhinzufügen möchten, vorhandenen Perimeters, führen Sie den folgenden Befehl aus:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Mit diesem Befehl werden alle Richtlinien für die Organisation aufgelistet. Wählen Sie aus der Liste Die Richtlinie, für die Sie den VPC Service Controls-Perimeter erstellen möchten.
Sie können die Ressourcen-ID Ihrer Organisation über die Google Cloud Console aufrufen. Weitere Informationen Siehe Ressourcen-ID der Organisation abrufen.
Perimeter prüfen
Verwenden Sie den Befehl gcloud access-context-manager perimeters describe PERIMETER_NAME, um den Perimeter zu prüfen. Beispiel:
gcloud access-context-manager perimeters describe PERIMETER_NAME
Weitere Informationen finden Sie unter Dienstperimeter verwalten
Projekt aus dem VPC Service Controls-Perimeter entfernen
So entfernen Sie Ihr Google Cloud-Projekt aus dem VPC Service Controls-Perimeter:
- Legen Sie in den globalen Einstellungen Ihres Google Cloud-Projekts den Wert des Attributs
vpcscauffalsefest.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsDieser Befehl gibt eine Vorgangs-ID zurück und startet einen lang andauernden Vorgang, der kann einige Zeit in Anspruch nehmen. Warten Sie, bis der Vorgang mit langer Ausführungszeit abgeschlossen ist. Sie können den Fortschritt des Vorgangs mit dem folgenden Befehl verfolgen:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Entfernen Sie Ihr Projekt aus dem VPC Service Controls-Perimeter.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME