Configurer VPC Service Controls pour Integration Connectors
VPC Service Controls vous permet de définir un périmètre de sécurité autour du service Google Cloud Integration Connectors. En plaçant le périmètre de sécurité autour de votre service, vous pouvez contraindre les données au sein d'un périmètre VPC Service Controls et limiter les risques d'exfiltration des données. Si vous ne connaissez pas encore VPC Service Controls, nous vous recommandons de lire les informations suivantes :
- Présentation de VPC Service Controls
- Périmètres de service : détails et configuration
- Accorder l'accès à VPC Service Controls
Ce document explique comment restreindre l'accès au service Integration Connectors (connectors.googleapis.com) à l'aide du périmètre VPC Service Controls. Après avoir configuré le périmètre, vous pouvez configurer des stratégies qui déterminent quels autres services ou utilisateurs Google Cloud peuvent accéder au service connectors.googleapis.com.
Points à prendre en compte
- Si votre connexion se connecte à une ressource Google Cloud, cette ressource doit être accessible depuis le périmètre VPC Service Controls.
- Si vous disposez déjà de connexions à un point de terminaison public, assurez-vous, avant de configurer le périmètre VPC Service Controls, que ces connexions utilisent le rattachement PSC (Private Service Connect) pour connecter les systèmes backend. Sans le rattachement PSC, les connexions existantes à un point de terminaison public échoueront une fois le périmètre VPC Service Controls configuré.
- Si votre connexion se connecte à une ressource autre que Google Cloud, la destination de la connexion doit être un rattachement PSC. Les connexions créées sans l'attentat PSC échoueront.
- Si vous configurez un périmètre VPC Service Controls pour votre projet Google Cloud, vous ne pouvez pas utiliser la fonctionnalité d'abonnement à des événements pour le projet.
Avant de commencer
Assurez-vous de disposer des autorisations nécessaires pour configurer les périmètres VPC Service Controls. Pour afficher la liste des rôles IAM requis pour configurer VPC Service Controls, consultez la page Contrôle des accès avec IAM dans la documentation de VPC Service Controls.Créer un périmètre VPC Service Controls
Pour créer un périmètre VPC Service Controls, vous pouvez utiliser la commande Google Cloud console ou gcloud, ou l'API accessPolicies.servicePerimeters.create.
Pour en savoir plus, consultez la section Créer un périmètre de service.
Les étapes suivantes montrent comment créer un périmètre VPC Service Controls avec un accès utilisateur activé à l'aide des commandes gcloud.
- Créez un fichier
access.yamlcontenant les informations de l'utilisateur autorisé à accéder au périmètre. Exemple :- members: - user:USER_EMAIL - Obtenez l'ID de la règle d'accès de votre organisation à l'aide de la commande suivante:
- Créez un niveau d'accès pour l'utilisateur.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
Dans cette commande, POLICY_ID, correspond à la valeur obtenue à l'étape précédente.
- Dans les paramètres généraux de votre projet Google Cloud, définissez la valeur de l'attribut
vpcscsurtrue.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsCette commande renvoie un ID d'opération et lance une opération de longue durée (LRO) qui peut prendre un certain temps. Attendez la fin de l'opération de longue durée. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Créer le périmètre VPC Service Controls et fournir un accès à l'utilisateur
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
L'exécution de cette commande peut prendre un certain temps, pendant lequel vous pouvez exécuter d'autres tâches dans un nouveau terminal.
Si vous souhaitez mettre à jour le niveau d'accès et ajouter le serviceconnectors.googleapis.comà un périmètre existant, exécutez la commande suivante:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Cette commande liste toutes les règles de l'organisation. Dans la liste, sélectionnez la règle pour laquelle vous souhaitez créer le périmètre VPC Service Controls.
Vous pouvez afficher l'ID de ressource de votre organisation à l'aide de la console Google Cloud. Pour en savoir plus, consultez la section Obtenir l'ID de ressource de votre organisation.
Vérifier votre périmètre
Pour vérifier le périmètre, utilisez la commande gcloud access-context-manager perimeters describe PERIMETER_NAME. Exemple :
gcloud access-context-manager perimeters describe PERIMETER_NAME
Pour en savoir plus, consultez la page Gérer les périmètres de service.
Supprimer un projet du périmètre VPC Service Controls
Pour supprimer votre projet Google Cloud du périmètre VPC Service Controls, procédez comme suit:
- Dans les paramètres généraux de votre projet Google Cloud, définissez la valeur de l'attribut
vpcscsurfalse.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsCette commande renvoie un ID d'opération et lance une opération de longue durée (LRO) qui peut prendre un certain temps. Attendez la fin de l'opération de longue durée. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Supprimez votre projet du périmètre VPC Service Controls.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME