VPC Service Controls vous permet de créer des périmètres, qui sont des limites autour de vos ressources Google Cloud. Vous pouvez ensuite définir des règles de sécurité qui empêchent l'accès aux services compatibles depuis l'extérieur du périmètre. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.
Vous pouvez utiliser VPC Service Controls pour sécuriser les API Policy Intelligence suivantes :
- API Policy Troubleshooter
- API Policy Simulator
Aider à sécuriser l'API Policy Troubleshooter
Vous pouvez contribuer à sécuriser le dépannage des règles à l'aide de VPC Service Controls.
Lorsque vous limitez l'API de dépannage des règles avec un périmètre, les principaux ne peuvent résoudre les problèmes liés aux règles IAM que si toutes les ressources impliquées dans la requête se trouvent dans le même périmètre. Une demande de dépannage implique généralement deux ressources :
La ressource pour laquelle vous dépannez l'accès. Cette ressource peut être de mots clés. Vous spécifiez explicitement cette ressource lorsque vous dépannez une Stratégie IAM.
Ressource que vous utilisez pour résoudre les problèmes d'accès. Cette ressource doit être un projet, un dossier ou une organisation. Dans la console Google Cloud gcloud CLI, cette ressource est déduite en fonction du projet, du dossier ou l'organisation que vous avez sélectionnée. Dans l'API REST, vous spécifiez ceci : à l'aide de l'en-tête
x-goog-user-project.Cette ressource peut être identique à celle que vous dépannez l'accès, mais cela n'a pas besoin de l'être.
Si ces ressources ne se trouvent pas dans le même périmètre, la requête échoue.
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec Policy Troubleshooter, consultez la entrée Policy Troubleshooter dans tableau des produits compatibles avec VPC Service Controls.
Aider à sécuriser l'API Policy Simulator
Lorsque vous limitez l'API Policy Simulator avec un périmètre, les principaux ne peuvent simuler des stratégies d'autorisation que si certaines ressources impliquées dans la simulation se trouvent dans le même périmètre. Une simulation implique plusieurs ressources :
La ressource dont vous simulez la règle d'autorisation. Cette ressource est également appelée ressource cible. Dans la console Google Cloud, il s'agit de la ressource dont vous modifiez la stratégie d'autorisation. Dans la gcloud CLI et API REST, vous spécifiez explicitement cette ressource lorsque vous simulez une règle .
Projet, dossier ou organisation qui crée et exécute la simulation. Cette ressource est également appelée ressource hôte. Dans la console Google Cloud et gcloud CLI, cette ressource est déduite en fonction du projet, du dossier ou de l'organisation que vous avez sélectionné. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête
x-goog-user-project.Cette ressource peut être identique à la ressource cible, mais il n'est pas nécessaire .
Ressource fournissant les journaux d'accès pour la simulation. Dans un il y a toujours une ressource qui fournit les journaux d'accès et la simulation. Cette ressource varie en fonction du type de ressource cible:
- Si vous simulez une règle d'autorisation pour un projet ou une organisation, Le simulateur récupère les journaux d'accès de ce projet ou de cette organisation.
- Si vous simulez une stratégie d'autorisation pour un autre type de ressource, Policy Simulator récupère les journaux d'accès pour le parent de cette ressource d'un projet ou d'une organisation.
- Si vous simulez des stratégies d'autorisation pour plusieurs ressources à la fois, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation les plus proches des ressources.
Toutes les ressources compatibles avec les stratégies d'autorisation pertinentes. Quand la stratégie Le simulateur exécute une simulation. Il prend en compte toutes les règles d'autorisation sur l'accès de l'utilisateur, y compris les stratégies d'autorisation ancêtres et descendants. Par conséquent, ces ancêtres et descendants sont aussi impliquées dans les simulations.
Si la ressource cible et la ressource hôte ne se trouvent pas dans le même périmètre, la requête échoue.
Si la ressource cible et celle qui fournit les journaux d'accès n'entrent pas dans le même périmètre, la requête échoue.
Si la ressource cible et certaines ressources compatibles avec des stratégies d'autorisation pertinentes ne se trouvent pas dans le même périmètre, les requêtes aboutissent, mais les résultats peuvent être incomplets. Par exemple, si vous simulez une stratégie pour un projet dans un périmètre, les résultats n'incluront pas la stratégie d'autorisation de l'organisation parente du projet, car les organisations se trouvent toujours en dehors des périmètres VPC Service Controls. Pour obtenir des résultats plus complets, vous pouvez configurer des protocoles d'entrée et de sortie des règles pour le périmètre.
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec Policy Simulator, consultez l'entrée Policy Simulator dans le tableau des produits compatibles avec VPC Service Controls.
Étape suivante
- Découvrez comment créer un périmètre de service.