Mit VPC Service Controls können Sie Perimeter erstellen, die sich um Ihre Google Cloud-Ressourcen erstrecken. Sie können dann Sicherheitsrichtlinien definieren, mit denen der Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindert wird. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.
Sie können VPC Service Controls verwenden, um folgende Policy Intelligence APIs zu schützen:
- Policy Troubleshooter API
- Policy Simulator API
Policy Troubleshooter API schützen
Sie können die Fehlerbehebung bei Richtlinien mit VPC Service Controls unterstützen.
Wenn Sie die Policy Troubleshooter API mit einem Perimeter einschränken, Hauptkonten können Probleme mit IAM-Richtlinien nur beheben, wenn alle Ressourcen die an der Anfrage beteiligt sind, sich im selben Perimeter befinden. Normalerweise gibt es zwei Ressourcen, die an einer Anfrage zur Fehlerbehebung beteiligt sind:
Die Ressource, für die Sie den Zugriff beheben möchten. Diese Ressource kann ein beliebiger Typ. Sie geben diese Ressource bei der Fehlerbehebung IAM-Richtlinie.
Die Ressource, die Sie zur Fehlerbehebung beim Zugriff verwenden. Diese Ressource muss ein Projekt, ein Ordner oder eine Organisation sein. In der Google Cloud Console und gcloud CLI verwenden, wird diese Ressource aus Projekt, Ordner, die Sie ausgewählt haben. In der REST API geben Sie dies an Ressource mit dem Header
x-goog-user-project.Diese Ressource kann mit der Ressource identisch sein, für die Sie eine Fehlerbehebung durchführen Zugriff erhalten, aber das muss nicht der Fall sein.
Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Weitere Informationen zur Funktionsweise von VPC Service Controls Richtlinien-Fehlerbehebung finden Sie in der Eintrag zur Richtlinien-Fehlerbehebung in Tabelle mit von VPC Service Controls unterstützten Produkten
Policy Simulator API schützen
Wenn Sie die Policy Simulator API mit einem Perimeter einschränken, Hauptkonten können Zulassungsrichtlinien nur dann simulieren, wenn bestimmte Ressourcen die an der Simulation beteiligt sind, sich im selben Perimeter befinden. Es gibt mehrere Ressourcen, die an einer Simulation beteiligt sind:
Die Ressource, deren Zulassungsrichtlinie Sie simulieren. Diese Ressource ist auch als Zielressource bezeichnet. In der Google Cloud Console ist dies die Ressource, deren Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und REST API zu verwenden, geben Sie diese Ressource explizit an, wenn Sie ein Zulassungszeichen simulieren. .
Das Projekt, der Ordner oder die Organisation, mit dem bzw. der die Simulation erstellt und ausgeführt wird. Diese Ressource wird auch als Hostressource bezeichnet. Im Google Cloud Console und gcloud CLI, wird diese Ressource abgeleitet. basierend auf dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Zielressource identisch sein, muss es aber nicht.
Die Ressource, die Zugriffslogs für die Simulation bereitstellt. In einer gibt es immer eine Ressource, die Zugriffs-Logs für den Simulationsspiele. Diese Ressource variiert je nach Zielressourcentyp:
- Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, ruft der Richtliniensimulator die Zugriffslogs für dieses Projekt oder diese Organisation ab.
- Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, Policy Simulator ruft die Zugriffslogs für das übergeordnete Element dieser Ressource ab für ein Projekt oder eine Organisation.
- Wenn Sie die Zulassungsrichtlinien für mehrere Ressourcen gleichzeitig simulieren, ruft der Richtliniensimulator die Zugriffslogs für die nächstgelegenen Projekte oder Organisationen der Ressource ab.
Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien Wenn Richtlinie Der Simulator führt eine Simulation aus und berücksichtigt alle Zulassungsrichtlinien, sich auf den Zugriff des Nutzers auswirken, einschließlich Zulassungsrichtlinien für die Ancestor- und untergeordneten Ressourcen. Daher werden diese Vorgänger- und Ressourcen auch an Simulationen beteiligt sind.
Wenn sich die Zielressource und die Hostressource nicht im selben Perimeter befinden, schlägt fehl.
Wenn sich die Zielressource und die Ressource, die Zugriffsprotokolle für die Simulation bereitstellt, nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn die Zielressource und einige unterstützte Ressourcen mit relevanten Zulassungsrichtlinien sich nicht im selben Perimeter befinden, sind die Anfragen erfolgreich, aber die Ergebnisse unvollständig. Wenn Sie beispielsweise eine Richtlinie für ein Projekt in einem Perimeter definieren, enthalten die Ergebnisse nicht die Zulassungsrichtlinie des übergeordneten Projekts Organisation, da sich Organisationen immer außerhalb von VPC Service Controls befinden Perimetern. Für vollständigere Ergebnisse können Sie Ein- und Ausstiegsregeln für den Perimeter konfigurieren.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit dem Richtliniensimulator finden Sie im Eintrag „Richtliniensimulator“ in der Tabelle der von VPC Service Controls unterstützten Produkte.