Halaman ini diterjemahkan oleh Cloud Translation API.

Membantu mengamankan Policy Intelligence API dengan Kontrol Layanan VPC

Dengan Kontrol Layanan VPC, Anda dapat membuat perimeter, yang merupakan batas di sekitar resource Google Cloud Anda. Kemudian, Anda dapat menentukan kebijakan keamanan yang membantu mencegah akses ke layanan yang didukung dari luar perimeter. Untuk mengetahui informasi selengkapnya tentang Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC.

Anda dapat menggunakan Kontrol Layanan VPC untuk membantu mengamankan Policy Intelligence API berikut:

Policy Troubleshooter API
Policy Simulator API

Membantu mengamankan Policy Troubleshooter API

Anda dapat membantu mengamankan pemecahan masalah kebijakan dengan menggunakan Kontrol Layanan VPC.

Saat Anda membatasi Policy Troubleshooter API dengan perimeter, akun utama hanya dapat memecahkan masalah kebijakan IAM jika semua resource yang terlibat dalam permintaan berada dalam perimeter yang sama. Biasanya ada dua resource yang terlibat dalam permintaan pemecahan masalah:

Resource yang aksesnya sedang Anda pecahkan masalahnya. Resource ini dapat berupa jenis apa pun. Anda secara eksplisit menentukan resource ini saat memecahkan masalah kebijakan IAM.
Resource yang Anda gunakan untuk memecahkan masalah akses. Resource ini harus berupa project, folder, atau organisasi. Di konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.

Resource ini dapat sama dengan resource yang aksesnya sedang Anda pecahkan masalahnya, tetapi tidak harus sama.

Jika resource ini tidak berada dalam perimeter yang sama, permintaan akan gagal.

Untuk mengetahui detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Pemecah Masalah Kebijakan, lihat entri Pemecah Masalah Kebijakan di tabel produk yang didukung Kontrol Layanan VPC.

Membantu mengamankan Policy Simulator API

Saat Anda membatasi Policy Simulator API dengan perimeter, pokok keamanan dapat menyimulasikan kebijakan izin hanya jika resource tertentu yang terlibat dalam simulasi berada di perimeter yang sama. Ada beberapa resource yang terlibat dalam simulasi:

Resource yang kebijakan izinkannya Anda simulasikan. Resource ini juga disebut resource target. Di konsol Google Cloud , ini adalah resource yang kebijakan izinnya Anda edit. Di gcloud CLI dan REST API, Anda secara eksplisit menentukan resource ini saat menyimulasikan kebijakan izin.
Project, folder, atau organisasi yang membuat dan menjalankan simulasi. Resource ini juga disebut resource host. Di konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.

Resource ini bisa sama dengan resource target, tetapi tidak harus demikian.
Resource yang menyediakan log akses untuk simulasi. Dalam simulasi, selalu ada satu resource yang menyediakan log akses untuk simulasi. Resource ini bervariasi bergantung pada jenis resource target:
- Jika Anda menyimulasikan kebijakan izinkan untuk project atau organisasi, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi tersebut.
- Jika Anda menyimulasikan kebijakan izin untuk jenis resource yang berbeda, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi induk resource tersebut.
- Jika Anda menyimulasikan kebijakan izin beberapa resource sekaligus, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi umum terdekat dari resource tersebut.
Semua resource yang didukung dengan kebijakan izin yang relevan. Saat menjalankan simulasi, Simulator Kebijakan mempertimbangkan semua kebijakan izinkan yang mungkin memengaruhi akses pengguna, termasuk kebijakan izinkan pada resource turunan dan induk resource target. Akibatnya, resource turunan dan keturunan ini juga terlibat dalam simulasi.

Jika resource target dan resource host tidak berada dalam perimeter yang sama, permintaan akan gagal.

Jika resource target dan resource yang menyediakan log akses untuk simulasi tidak berada dalam perimeter yang sama, permintaan akan gagal.

Jika resource target dan beberapa resource yang didukung dengan kebijakan izin yang relevan tidak berada di perimeter yang sama, permintaan akan berhasil, tetapi hasilnya mungkin tidak lengkap. Misalnya, jika Anda menyimulasikan kebijakan untuk project dalam perimeter, hasilnya tidak akan menyertakan kebijakan izin organisasi induk project, karena organisasi selalu berada di luar perimeter Kontrol Layanan VPC. Untuk mendapatkan hasil yang lebih lengkap, Anda dapat mengonfigurasi aturan ingress dan egress untuk perimeter.

Untuk mengetahui detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Policy Simulator, lihat entri Policy Simulator di tabel produk yang didukung Kontrol Layanan VPC.

Langkah berikutnya

Pelajari cara Membuat perimeter layanan.