Configurer VPC Service Controls pour les connecteurs d'intégration
VPC Service Controls vous permet de définir un périmètre de sécurité autour du service Google Cloud Integration Connectors. Avec le périmètre de sécurité autour de votre service, vous pouvez limiter les données au sein d'un périmètre VPC Service Controls et réduire les risques d'exfiltration des données. Si vous ne connaissez pas encore VPC Service Controls, nous vous recommandons de lire les informations suivantes :
- Présentation de VPC Service Controls
- Périmètres de service : détails et configuration
- Accorder l'accès à VPC Service Controls
Ce document explique comment restreindre l'accès au service Integration Connectors (connectors.googleapis.com)
à l'aide du périmètre VPC Service Controls. Une fois le périmètre configuré,
vous pouvez configurer des stratégies qui déterminent
Les services ou utilisateurs Google Cloud peuvent accéder au service connectors.googleapis.com.
Remarques
- Si votre connexion se connecte à une ressource Google Cloud, cette ressource doit être accessible depuis le périmètre VPC Service Controls.
- Si vous disposez déjà de connexions à un point de terminaison public, avant de configurer périmètre VPC Service Controls : assurez-vous que ces connexions utilisent le PSC (Private Service Connect) pour connecter les systèmes backend. Sans le rattachement PSC, les connexions existantes à un point de terminaison public échouera une fois que vous aurez configuré le périmètre VPC Service Controls.
- Si votre connexion se connecte à une ressource autre que Google Cloud, la destination de la connexion doit être une pièce jointe PSC. Les connexions créées sans l'attachement au PSC échoueront.
- Si vous configurez un périmètre VPC Service Controls pour votre projet Google Cloud, vous ne pouvez pas utiliser La fonctionnalité d'abonnement à des événements pour le projet.
Avant de commencer
Assurez-vous de disposer des autorisations requises pour configurer des périmètres VPC Service Controls. Pour afficher la liste des rôles IAM requis pour configurer VPC Service Controls, consultez la page Contrôle des accès avec IAM dans la documentation de VPC Service Controls.Créer un périmètre VPC Service Controls
Pour créer un périmètre VPC Service Controls, vous pouvez utiliser Google Cloud console,
ou la commande gcloud, ou encore l'API accessPolicies.servicePerimeters.create.
Pour en savoir plus, consultez la section Créer un périmètre de service.
Les étapes suivantes expliquent comment créer un périmètre VPC Service Controls avec un accès utilisateur activé à l'aide de
les commandes gcloud.
- Créez un fichier
access.yamlcontenant les informations sur l'utilisateur autorisé. pour accéder au périmètre. Exemple :- members: - user:USER_EMAIL
- Obtenez l'ID de la stratégie d'accès de votre organisation à l'aide de la commande suivante :
- Créez un niveau d'accès pour l'utilisateur.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
Dans cette commande, POLICY_ID correspond à la valeur obtenue à l'étape précédente.
- Dans les paramètres globaux de votre projet Google Cloud, définissez la valeur de l'attribut
vpcscsurtrue.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsCette commande renvoie un ID d'opération et lance une opération de longue durée (LRO), qui peut prendre un certain temps. Attendez la fin de l'analyse LRO. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante :
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Créez le périmètre VPC Service Controls et accordez l'accès à l'utilisateur.
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
L'exécution de cette commande prend un certain temps, pendant lequel vous pouvez exécuter d'autres tâches dans un nouveau terminal.
Si vous souhaitez mettre à jour le niveau d'accès et ajoutez le serviceconnectors.googleapis.comà un périmètre existant, exécutez la commande suivante:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Cette commande permet de lister toutes les règles de l'organisation. Dans la liste, sélectionnez la règle pour laquelle vous souhaitez créer le périmètre VPC Service Controls.
Vous pouvez afficher l'ID de ressource de votre organisation à l'aide de la console Google Cloud. Pour plus d'informations, consultez la section Obtenir l'ID de ressource de votre organisation.
Vérifier votre périmètre
Pour vérifier le périmètre, utilisez la commande gcloud access-context-manager perimeters describe PERIMETER_NAME. Exemple :
gcloud access-context-manager perimeters describe PERIMETER_NAME
Pour en savoir plus, consultez Gérer les périmètres de service
Supprimer un projet du périmètre VPC Service Controls
Pour supprimer votre projet Google Cloud du périmètre VPC Service Controls, procédez comme suit :
- Dans les paramètres globaux de votre projet Google Cloud, définissez la valeur de l'attribut
vpcscsurfalse.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsCette commande renvoie un ID d'opération et lance une opération de longue durée (LRO) qui peut prendre un certain temps. Attendez la fin de l'analyse LRO. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante :
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Supprimez votre projet du périmètre VPC Service Controls.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME