Mit VPC Service Controls können Sie Perimeter erstellen, die sich um Ihre Google Cloud Ressourcen erstrecken. Sie können dann Sicherheitsrichtlinien definieren, mit denen der Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindert wird. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.
Sie können VPC Service Controls verwenden, um die folgenden Policy Intelligence APIs zu schützen:
- Policy Troubleshooter API
- Policy Simulator API
Policy Troubleshooter API schützen
Sie können den Schutz der Richtlinien-Fehlerbehebung mit VPC Service Controls sichern.
Wenn Sie die Policy Troubleshooter API mit einem Perimeter einschränken, können Principals IAM-Richtlinien nur dann prüfen, wenn sich alle an der Anfrage beteiligten Ressourcen im selben Perimeter befinden. In der Regel sind zwei Ressourcen an einer Anfrage zur Fehlerbehebung beteiligt:
Die Ressource, für die Sie den Zugriff prüfen. Diese Ressource kann ein beliebiger Typ sein. Sie geben diese Ressource explizit an, wenn Sie eine IAM-Richtlinie untersuchen.
Die Ressource, die Sie zur Fehlerbehebung bei Zugriffsproblemen verwenden. Diese Ressource muss ein Projekt, ein Ordner oder eine Organisation sein. In der Google Cloud Console und der gcloud CLI wird diese Ressource anhand des ausgewählten Projekts, Ordners oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Ressource übereinstimmen, für die Sie den Zugriff beheben, muss es aber nicht.
Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit der Fehlerbehebung für Richtlinien finden Sie im Eintrag zur Fehlerbehebung für Richtlinien in der Tabelle der unterstützten VPC Service Controls-Produkte.
Policy Simulator API schützen
Wenn Sie die Policy Simulator API mit einem Perimeter einschränken, können Hauptkonten Zulassungsrichtlinien nur simulieren, wenn sich bestimmte an der Simulation beteiligte Ressourcen im selben Perimeter befinden. An einer Simulation sind mehrere Ressourcen beteiligt:
Die Ressource, deren Zulassungsrichtlinie Sie simulieren. Diese Ressource wird auch als Zielressource bezeichnet. In der Google Cloud Konsole ist dies die Ressource, deren Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und der REST API geben Sie diese Ressource explizit an, wenn Sie eine Zulassungsrichtlinie simulieren.
Das Projekt, der Ordner oder die Organisation, mit dem die Simulation erstellt und ausgeführt wird. Diese Ressource wird auch als Hostressource bezeichnet. In derGoogle Cloud Console und der gcloud CLI wird diese Ressource basierend auf dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Zielressource identisch sein, muss es aber nicht.
Die Ressource, die Zugriffslogs für die Simulation bereitstellt. In einer Simulation gibt es immer eine Ressource, die Zugriffslogs für die Simulation bereitstellt. Diese Ressource variiert je nach Zielressourcentyp:
- Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, ruft der Richtliniensimulator die Zugriffslogs für dieses Projekt oder diese Organisation ab.
- Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, ruft der Policy Simulator die Zugriffslogs für das übergeordnete Projekt oder die übergeordnete Organisation dieser Ressource ab.
- Wenn Sie die Zulassungsrichtlinien für mehrere Ressourcen gleichzeitig simulieren, ruft der Richtliniensimulator die Zugriffslogs für das nächstgelegene gemeinsame Projekt oder die nächstgelegene gemeinsame Organisation der Ressourcen ab.
Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien. Wenn Policy Simulator eine Simulation ausführt, werden alle Zulassungsrichtlinien berücksichtigt, die sich auf den Zugriff des Nutzers auswirken können, einschließlich Zulassungsrichtlinien für die Ancestor- und Descendant-Ressourcen der Zielressource. Daher werden diese über- und untergeordneten Ressourcen auch in Simulationen berücksichtigt.
Wenn sich die Zielressource und die Hostressource nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn sich die Zielressource und die Ressource, die Zugriffslogs für die Simulation bereitstellt, nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn sich die Zielressource und einige unterstützte Ressourcen mit relevanten Zulassungsrichtlinien nicht im selben Perimeter befinden, ist die Anfrage erfolgreich, die Ergebnisse sind jedoch möglicherweise unvollständig. Wenn Sie beispielsweise eine Richtlinie für ein Projekt in einem Perimeter simulieren, enthalten die Ergebnisse nicht die Zulassungsrichtlinie der übergeordneten Organisation des Projekts, da Organisationen immer außerhalb von VPC Service Controls-Perimetern liegen. Wenn Sie vollständigere Ergebnisse erhalten möchten, können Sie Regeln für eingehenden und ausgehenden Traffic für den Perimeter konfigurieren.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit dem Policy Simulator finden Sie im Eintrag zum Richtliniensimulator in der Tabelle der unterstützten VPC Service Controls-Produkte.