Configura los Controles del servicio de VPC para Integration Connectors

Los Controles del servicio de VPC te permiten definir un perímetro de seguridad alrededor del servicio de Integration Connectors de Google Cloud. Con el perímetro de seguridad que rodea tu servicio, puedes restringir los datos dentro de un perímetro de Controles del servicio de VPC y mitigar los riesgos de robo de datos. Si aún no estás familiarizado con los Controles del servicio de VPC, te recomendamos que revises la siguiente información:

• Descripción general de los Controles del servicio de VPC
• Detalles y configuración del perímetro de servicio
• Otorga acceso a los Controles del servicio de VPC

En este documento, se describe cómo restringir el acceso al servicio de Integration Connectors (connectors.googleapis.com) mediante el perímetro de los Controles del servicio de VPC. Después de configurar el perímetro, puedes establecer políticas que determinen qué otros servicios o usuarios de Google Cloud pueden acceder al servicio connectors.googleapis.com.

Consideraciones

• Si tu conexión se conecta a un recurso de Google Cloud, debes poder acceder a ese recurso desde el perímetro de los Controles del servicio de VPC.
• Si tienes conexiones existentes a un extremo público, antes de configurar el perímetro de los Controles del servicio de VPC, asegúrate de que esas conexiones usen el adjunto de PSC (Private Service Connect) para conectar los sistemas de backend. Sin el adjunto de PSC, las conexiones existentes a un extremo público fallarán después de que configures el perímetro de los Controles del servicio de VPC.
• Si tu conexión se conecta a un recurso que no es de Google Cloud, el destino de la conexión debería ser un adjunto de PSC. Fallarán las conexiones creadas sin el ataque de PSC.
• Si configuras un perímetro de Controles del servicio de VPC para tu proyecto de Google Cloud, no puedes usar la función de suscripción a eventos en el proyecto.

Antes de comenzar

Asegúrate de tener los permisos necesarios para configurar perímetros de los Controles del servicio de VPC. Si deseas ver una lista de las funciones de IAM necesarias para configurar los Controles del servicio de VPC, consulta Control de acceso con IAM en la documentación de los Controles del servicio de VPC.

Crea un perímetro de Controles del servicio de VPC

Para crear un perímetro de Controles del servicio de VPC, puedes usar el comando Google Cloud console, gcloud o la API de accessPolicies.servicePerimeters.create. Para obtener más información, consulta Crea un perímetro de servicio.

En los siguientes pasos, se muestra cómo crear un perímetro de los Controles del servicio de VPC con un acceso de usuario habilitado mediante los comandos gcloud.

1. Crea un archivo access.yaml que tenga los detalles del usuario que tiene permiso para acceder al perímetro. Por ejemplo:

   - members:
       - user:USER_EMAIL
   

2. Obtén el ID de la política de acceso de tu organización con el siguiente comando:

gcloud access-context-manager policies list --organization=ORGANIZATION_ID

Este comando enumera todas las políticas de la organización. En la lista, selecciona la política para la que deseas crear el perímetro de los Controles del servicio de VPC.

Puedes ver el ID de recurso de tu organización con la consola de Google Cloud. Para obtener más información, consulta Cómo obtener el ID de recurso de tu organización.

3. Crea un nivel de acceso para el usuario.

   gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
   --title "CUSTOM_TITLE" \
   --basic-level-spec access.yaml \
   --policy=POLICY_ID

   En este comando, POLICY_ID es el valor que obtuviste del paso anterior.

4. En la configuración global de tu proyecto de Google Cloud, establece el valor del atributo vpcsc en true.

   curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -d '{"vpcsc": true}' \
   https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

   Este comando muestra un ID de operación y, luego, inicia una operación de larga duración (LRO) que puede tardar en completarse. Espera a que se complete la LRO. Puedes realizar un seguimiento del progreso de la operación con el siguiente comando:

   curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID

5. Crear el perímetro de los Controles del servicio de VPC y proporcionar acceso al usuario

   gcloud access-context-manager perimeters create PERIMETER_NAME \
   --title="PERIMETER_TITLE" \
   --resources=projects/PROJECT_ID \
   --restricted-services=connectors.googleapis.com \
   --access_levels=ACCESS_LEVEL_NAME
   

   Este comando tarda un tiempo en completarse, durante el cual puedes ejecutar otras tareas en una terminal nueva.

   Si deseas actualizar el nivel de acceso y agregar el servicio connectors.googleapis.com a un perímetro existente, ejecuta el siguiente comando:

   gcloud access-context-manager perimeters update PERIMETER_NAME \
   --add-restricted-services="connectors.googleapis.com" \
   --add-access-levels=ACCESS_LEVEL_NAME \
   --policy=POLICY_ID

Verifica tu perímetro

Para verificar el perímetro, usa el comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Por ejemplo:

gcloud access-context-manager perimeters describe PERIMETER_NAME

Para obtener más información, consulta Administra perímetros de servicio.

Quita un proyecto del perímetro de los Controles del servicio de VPC

Para quitar tu proyecto de Google Cloud del perímetro de los Controles del servicio de VPC, sigue estos pasos:

1. En la configuración global de tu proyecto de Google Cloud, establece el valor del atributo vpcsc en false.

   curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -d '{"vpcsc": false}' \
   https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

   Este comando muestra un ID de operación y, luego, inicia una operación de larga duración (LRO) que puede tardar en completarse. Espera a que se complete la LRO. Puedes realizar un seguimiento del progreso de la operación con el siguiente comando:

   curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID

2. Quita el proyecto del perímetro de los Controles del servicio de VPC.

   gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME
   

¿Qué sigue?

Obtén información sobre cómo los Controles del servicio de VPC protegen tus datos.