Con Controles de Servicio de VPC, puedes crear perímetros, que son límites alrededor de tus recursos de Google Cloud . Después, puedes definir políticas de seguridad que ayuden a evitar el acceso a los servicios admitidos desde fuera del perímetro. Para obtener más información sobre Controles de Servicio de VPC, consulta la descripción general de Controles de Servicio de VPC.
Puedes usar Controles de Servicio de VPC para proteger las siguientes APIs de Policy Intelligence:
- API Policy Troubleshooter
- API Policy Simulator
Proteger la API Policy Troubleshooter
Puedes proteger la solución de problemas de políticas con Controles de Servicio de VPC.
Cuando restringes la API Policy Troubleshooter con un perímetro, las entidades solo pueden solucionar problemas de políticas de gestión de identidades y accesos si todos los recursos implicados en la solicitud están en el mismo perímetro. Normalmente, hay dos recursos implicados en una solicitud de asistencia:
El recurso cuyo acceso quieres solucionar. Este recurso puede ser de cualquier tipo. Especificas este recurso de forma explícita cuando solucionas problemas de una política de gestión de identidades y accesos.
El recurso que estás usando para solucionar problemas de acceso. Este recurso debe ser un proyecto, una carpeta o una organización. En la Google Cloud consola y en la CLI de gcloud, este recurso se deduce en función del proyecto, la carpeta o la organización que hayas seleccionado. En la API REST, este recurso se especifica mediante el encabezado
x-goog-user-project.Este recurso puede ser el mismo que el recurso cuyo acceso estás solucionando, pero no es necesario.
Si estos recursos no están en el mismo perímetro, la solicitud falla.
Para obtener más información sobre cómo funciona la herramienta para solucionar problemas de políticas con Controles de Servicio de VPC, consulta la entrada de la herramienta en la tabla de productos compatibles con Controles de Servicio de VPC.
Ayuda para proteger la API Policy Simulator
Cuando restringes la API Policy Simulator con un perímetro, las entidades principales solo pueden simular políticas de permiso si determinados recursos implicados en la simulación están en el mismo perímetro. En una simulación intervienen varios recursos:
El recurso cuya política de permiso quieres simular. Este recurso también se denomina recurso de destino. En la consola Google Cloud , este es el recurso cuya política de permisos estás editando. En la CLI de gcloud y en la API REST, debes especificar este recurso de forma explícita cuando simules una política de permiso.
El proyecto, la carpeta o la organización que crea y ejecuta la simulación. Este recurso también se denomina recurso de host. En laGoogle Cloud consola y en la CLI de gcloud, este recurso se infiere en función del proyecto, la carpeta o la organización que hayas seleccionado. En la API REST, este recurso se especifica mediante el encabezado
x-goog-user-project.Este recurso puede ser el mismo que el recurso de destino, pero no tiene por qué serlo.
El recurso que proporciona los registros de acceso de la simulación. En una simulación, siempre hay un recurso que proporciona registros de acceso para la simulación. Este recurso varía en función del tipo de recurso de destino:
- Si simulas una política de permiso para un proyecto o una organización, Policy Simulator recupera los registros de acceso de ese proyecto o esa organización.
- Si simulas una política de permiso para un tipo de recurso diferente, el simulador de políticas recupera los registros de acceso del proyecto o la organización superior de ese recurso.
- Si simulas varias políticas de permiso de recursos a la vez, Policy Simulator recupera los registros de acceso del proyecto o la organización comunes más cercanos a los recursos.
Todos los recursos admitidos con las políticas de permiso pertinentes. Cuando el simulador de políticas ejecuta una simulación, tiene en cuenta todas las políticas de permiso que puedan afectar al acceso del usuario, incluidas las políticas de permiso de los recursos antecesores y descendientes del recurso de destino. Por lo tanto, estos recursos antecesores y descendientes también participan en las simulaciones.
Si el recurso de destino y el recurso de host no están en el mismo perímetro, la solicitud falla.
Si el recurso de destino y el recurso que proporciona los registros de acceso para la simulación no están en el mismo perímetro, la solicitud fallará.
Si el recurso de destino y algunos recursos admitidos con políticas de permiso relevantes no están en el mismo perímetro, las solicitudes se completarán, pero los resultados podrían estar incompletos. Por ejemplo, si simulas una política de un proyecto de un perímetro, los resultados no incluirán la política de permiso de la organización principal del proyecto, ya que las organizaciones siempre están fuera de los perímetros de Controles de Servicio de VPC. Para obtener resultados más completos, puedes configurar reglas de entrada y salida para el perímetro.
Para obtener más información sobre cómo funciona Policy Simulator con Controles de Servicio de VPC, consulta la entrada de Policy Simulator en la tabla de productos compatibles con Controles de Servicio de VPC.
Siguientes pasos
- Consulta cómo crear un perímetro de servicio.