Con los Controles del servicio de VPC, puedes crear perímetros, que son límites para tus recursos de Google Cloud. Luego, puedes definir políticas de seguridad que ayuden a evitar el acceso a los servicios compatibles fuera del perímetro. Para obtener más información sobre los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.
Puedes usar los Controles del servicio de VPC para proteger los siguientes elementos: APIs de Policy Intelligence:
- API de Policy Troubleshooter
- API de Policy Simulator
Ayuda a proteger la API del solucionador de problemas de políticas
Puedes ayudar a proteger la solución de problemas de políticas mediante los Controles del servicio de VPC.
Cuando restringes la API del Solucionador de problemas de políticas con un perímetro, principales pueden solucionar problemas de políticas de IAM solo si todos los recursos involucradas en la solicitud se encuentran en el mismo perímetro. Por lo general, hay dos Recursos involucrados en una solicitud de solución de problemas:
El recurso para el que estás solucionando problemas de acceso. Este recurso puede ser cualquier el tipo de letra. Especificas de forma explícita este recurso cuando solucionas un problema Política de IAM.
El recurso que usas para solucionar los problemas de acceso. Este recurso debe estar un proyecto, una carpeta o una organización. En la consola de Google Cloud y en gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que hayas seleccionado. En la API de REST, debes especificar lo siguiente: recurso con el encabezado
x-goog-user-project.Este recurso puede ser el mismo que el que estás solucionando acceso, pero no tiene por qué serlo.
Si estos recursos no están en el mismo perímetro, la solicitud falla.
Obtén más información sobre el funcionamiento de los Controles del servicio de VPC con el Solucionador de problemas de políticas, consulta la la entrada del Solucionador de problemas de políticas la tabla de productos compatibles de los Controles del servicio de VPC.
Ayuda a proteger la API de Policy Simulator
Cuando restringes la API de Policy Simulator con un perímetro, principales pueden simular políticas de permisos solo si ciertos recursos que participan en la simulación están en el mismo perímetro. Existen varias Recursos involucrados en una simulación:
El recurso cuya política de permisos estás simulando. Este recurso está también denominado recurso de destino. En la consola de Google Cloud, esta es la recurso cuya política de permisos estás editando. En gcloud CLI y API de REST, especificas este recurso de forma explícita cuando simulas una solicitud .
El proyecto, la carpeta o la organización que crea y ejecuta la simulación. Este recurso también se denomina recurso de host. En la de la consola de Google Cloud y gcloud CLI, se infiere este recurso según el proyecto, la carpeta o la organización que hayas seleccionado. En REST API, debes especificar este recurso con el encabezado
x-goog-user-project.Este recurso puede ser el mismo que el recurso de destino, pero no es necesario estar.
El recurso que proporciona registros de acceso para la simulación. En una de simulación de ataques, siempre hay un recurso que brinda registros de acceso para el la simulación. Este recurso varía según el tipo de recurso de destino:
- Si simulas una política de permisos para un proyecto o una organización, El simulador recupera los registros de acceso para ese proyecto o esa organización.
- Si estás simulando una política de permiso para un tipo diferente de recurso, Policy Simulator recupera los registros de acceso del elemento superior de ese recurso proyecto u organización.
- Si estás simulando múltiples recursos políticas de permisos a la vez, El simulador recupera los registros de acceso para los recursos común más cercano proyecto u organización.
Todos los recursos compatibles con políticas de permisos relevantes. Política de cuándo El simulador ejecuta una simulación y considera todas las políticas de permisos que podrían afectan el acceso del usuario, incluidas las políticas de permisos principales y descendientes. Como resultado, estas tablas principales y subordinadas también intervienen en las simulaciones.
Si el recurso de destino y el recurso de host no están en el mismo perímetro, el la solicitud falla.
Si el recurso de destino y el que proporciona registros de acceso para el no están en el mismo perímetro, la solicitud falla.
Si el recurso de destino y algunos recursos admitidos con políticas de permisos relevantes no están en el mismo perímetro, las solicitudes se ejecutan correctamente, pero los resultados incompleto. Por ejemplo, si estás simulando una política para un proyecto en un perímetro, los resultados no incluirán la política de permisos del elemento superior porque las organizaciones siempre están fuera de los Controles del servicio de VPC con otros perímetros. Para obtener resultados más completos, puedes configurar las entradas y salidas reglas para el perímetro.
Para obtener más información sobre cómo funcionan los Controles del servicio de VPC con Policy Simulator, consulta La entrada del simulador de políticas en los productos compatibles de los Controles del servicio de VPC de la tabla.
¿Qué sigue?
- Obtén más información para crear un perímetro de servicio.