Mit VPC Service Controls können Sie Perimeter erstellen, die sich um Ihre Google Cloud-Ressourcen erstrecken. Sie können dann Sicherheitsrichtlinien definieren, mit denen der Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindert wird. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.
Sie können VPC Service Controls verwenden, um folgende Policy Intelligence APIs zu schützen:
- Policy Troubleshooter API
- Policy Simulator API
Policy Troubleshooter API schützen
Sie können die Fehlerbehebung bei Richtlinien mit VPC Service Controls unterstützen.
Wenn Sie die API zur Fehlerbehebung für Richtlinien mit einem Perimeter einschränken, können berechtigte Nutzer nur dann Probleme mit IAM-Richtlinien beheben, wenn sich alle an der Anfrage beteiligten Ressourcen im selben Perimeter befinden. Bei einer Anfrage zur Fehlerbehebung sind in der Regel zwei Ressourcen beteiligt:
Die Ressource, für die Sie den Zugriff beheben möchten. Diese Ressource kann beliebigen Typs sein. Sie geben diese Ressource explizit an, wenn Sie eine IAM-Richtlinie beheben.
Die Ressource, die Sie zur Fehlerbehebung beim Zugriff verwenden. Diese Ressource muss ein Projekt, ein Ordner oder eine Organisation sein. In der Google Cloud Console und der gcloud CLI wird diese Ressource anhand des ausgewählten Projekts, Ordners oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Ressource übereinstimmen, für die Sie den Zugriff beheben, muss es aber nicht.
Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit der Richtlinien-Fehlerbehebung finden Sie im Eintrag „Richtlinien-Fehlerbehebung“ in der Tabelle der von VPC Service Controls unterstützten Produkte.
Policy Simulator API schützen
Wenn Sie die Policy Simulator API mit einem Perimeter einschränken, können Hauptkonten Zulassungsrichtlinien nur dann simulieren, wenn sich bestimmte an der Simulation beteiligte Ressourcen im selben Perimeter befinden. Bei einer Simulation sind mehrere Ressourcen beteiligt:
Die Ressource, deren Zulassungsrichtlinie Sie simulieren. Diese Ressource wird auch als Zielressource bezeichnet. In der Google Cloud Console ist dies die Ressource, deren Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und der REST API geben Sie diese Ressource explizit an, wenn Sie eine Zulassungsrichtlinie simulieren.
Das Projekt, der Ordner oder die Organisation, mit dem bzw. der die Simulation erstellt und ausgeführt wird. Diese Ressource wird auch als Hostressource bezeichnet. In der Google Cloud Console und in der gcloud CLI wird diese Ressource anhand des ausgewählten Projekts, Ordners oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Zielressource identisch sein, muss es aber nicht.
Die Ressource, die Zugriffslogs für die Simulation bereitstellt. In einer Simulation gibt es immer eine Ressource, die Zugriffsprotokolle für die Simulation bereitstellt. Diese Ressource variiert je nach Zielressourcentyp:
- Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, ruft der Richtliniensimulator die Zugriffslogs für dieses Projekt oder diese Organisation ab.
- Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, ruft der Policy Simulator die Zugriffslogs für das übergeordnete Projekt oder die übergeordnete Organisation dieser Ressource ab.
- Wenn Sie die Zulassungsrichtlinien für mehrere Ressourcen gleichzeitig simulieren, ruft der Richtliniensimulator die Zugriffslogs für die nächstgelegenen Projekte oder Organisationen der Ressource ab.
Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien Wenn der Richtliniensimulator eine Simulation durchführt, werden alle Zulassungsrichtlinien berücksichtigt, die sich auf den Zugriff des Nutzers auswirken können, einschließlich Zulassungsrichtlinien für übergeordnete und untergeordnete Ressourcen der Zielressource. Daher sind diese übergeordneten und untergeordneten Ressourcen auch an Simulationen beteiligt.
Wenn sich die Zielressource und die Hostressource nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn sich die Zielressource und die Ressource, die Zugriffsprotokolle für die Simulation bereitstellt, nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn sich die Zielressource und einige unterstützte Ressourcen mit relevanten Zulassungsrichtlinien nicht im selben Perimeter befinden, sind die Anfragen erfolgreich, die Ergebnisse jedoch möglicherweise unvollständig. Wenn Sie beispielsweise eine Richtlinie für ein Projekt in einem Perimeter simulieren, sind die Ergebnisse nicht die Zulassungsrichtlinie der übergeordneten Organisation des Projekts, da sich Organisationen immer außerhalb von VPC Service Controls-Perimetern befinden. Für vollständigere Ergebnisse können Sie Ein- und Ausstiegsregeln für den Perimeter konfigurieren.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit dem Policy Simulator finden Sie im Eintrag „Richtliniensimulator“ in der Tabelle der von VPC Service Controls unterstützten Produkte.