Con los Controles del servicio de VPC, puedes crear perímetros, que son límites para tus recursos de Google Cloud . Luego, puedes definir políticas de seguridad que ayuden a evitar el acceso a los servicios compatibles fuera del perímetro. Para obtener más información sobre los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.
Puedes usar los Controles del servicio de VPC para ayudar a proteger las siguientes APIs de Policy Intelligence:
- API del solucionador de problemas de políticas
- API de Policy Simulator
Ayuda a proteger la API de Policy Troubleshooter
Puedes ayudar a proteger la solución de problemas de políticas con los Controles del servicio de VPC.
Cuando restringes la API del solucionador de problemas de políticas con un perímetro, las principales solo pueden solucionar problemas relacionados con las políticas de IAM si todos los recursos involucrados en la solicitud se encuentran en el mismo perímetro. Por lo general, hay dos recursos involucrados en una solicitud de solución de problemas:
El recurso para el que estás solucionando problemas de acceso Este recurso puede ser de cualquier tipo. Especificas este recurso de forma explícita cuando solucionas problemas relacionados con una política de IAM.
El recurso que usas para solucionar problemas de acceso. Este recurso debe ser un proyecto, una carpeta o una organización. En la consola de Google Cloud y en gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que seleccionaste. En la API de REST, especificas este recurso con el encabezado
x-goog-user-project.Este recurso puede ser el mismo para el que estás solucionando problemas de acceso, pero no es necesario que lo sea.
Si estos recursos no están en el mismo perímetro, la solicitud fallará.
Para obtener más detalles sobre cómo funcionan los Controles del servicio de VPC con el Solucionador de problemas de políticas, consulta la entrada del Solucionador de problemas de políticas en la tabla de productos compatibles con los Controles del servicio de VPC.
Ayuda a proteger la API de Policy Simulator
Cuando restringes la API de Policy Simulator con un perímetro, las principales solo pueden simular políticas de permisos si ciertos recursos involucrados en la simulación se encuentran en el mismo perímetro. En una simulación, se utilizan varios recursos:
El recurso cuya política de permisos simulas. Este recurso también se denomina recurso de destino. En la consola de Google Cloud , este es el recurso cuya política de permisos estás editando. En gcloud CLI y en la API de REST, debes especificar este recurso de forma explícita cuando simulas una política de permisos.
Es el proyecto, la carpeta o la organización que crea y ejecuta la simulación. Este recurso también se denomina recurso de host. En laGoogle Cloud consola y en gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que seleccionaste. En la API de REST, se especifica este recurso con el encabezado
x-goog-user-project.Este recurso puede ser el mismo que el recurso de destino, pero no es necesario que lo sea.
Es el recurso que proporciona registros de acceso para la simulación. En una simulación, siempre hay un recurso que proporciona registros de acceso para la simulación. Este recurso varía según el tipo de recurso de destino:
- Si simulas una política de permisos para un proyecto o una organización, el simulador de política recupera los registros de acceso de ese proyecto o esa organización.
- Si simulas una política de permisos para un tipo de recurso diferente, Policy Simulator recupera los registros de acceso de su organización o proyecto principal.
- Si estás simulando políticas de permisos de varios recursos a la vez, Policy Simulator recupera los registros de acceso de la organización o el proyecto común más cercano.
Todos los recursos admitidos con políticas de permisos pertinentes. Cuando Policy Simulator ejecuta una simulación, considera todas las políticas de permisos que podrían afectar el acceso del usuario, incluidas las políticas de permisos en los recursos principales y subordinados del recurso de destino. Como resultado, estos recursos de antecesores y descendientes también participan en las simulaciones.
Si el recurso de destino y el recurso host no están en el mismo perímetro, la solicitud falla.
Si el recurso de destino y el recurso que proporciona los registros de acceso para la simulación no están en el mismo perímetro, la solicitud falla.
Si el recurso de destino y algunos recursos admitidos con políticas de permisos pertinentes no están en el mismo perímetro, la solicitud se realizará correctamente, pero los resultados podrían estar incompletos. Por ejemplo, si simulas una política para un proyecto en un perímetro, los resultados no incluirán la política de permisos de la organización principal del proyecto, ya que las organizaciones siempre están fuera de los perímetros de los Controles del servicio de VPC. Para obtener resultados más completos, puedes configurar reglas de entrada y salida para el perímetro.
Para obtener más detalles sobre cómo funcionan los Controles del servicio de VPC con Policy Simulator, consulta la entrada de Policy Simulator en la tabla de productos compatibles con los Controles del servicio de VPC.
¿Qué sigue?
- Obtén más información para crear un perímetro de servicio.