Halaman ini diterjemahkan oleh Cloud Translation API.

Membantu mengamankan Policy Intelligence API dengan Kontrol Layanan VPC

Dengan Kontrol Layanan VPC, Anda dapat membuat perimeter, yang merupakan batas di sekitar resource Google Cloud Anda. Kemudian, Anda dapat menentukan kebijakan keamanan yang membantu mencegah akses ke layanan yang didukung dari luar perimeter. Untuk informasi lebih lanjut tentang Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC.

Anda dapat menggunakan Kontrol Layanan VPC untuk membantu mengamankan API Policy Intelligence berikut:

Policy Troubleshooter API
Policy Simulator API

Membantu mengamankan Policy Troubleshooter API

Anda dapat membantu mengamankan pemecahan masalah kebijakan dengan menggunakan Kontrol Layanan VPC.

Saat Anda membatasi Policy Troubleshooter API dengan perimeter, akun utama hanya dapat memecahkan masalah kebijakan IAM jika semua resource yang terlibat dalam permintaan berada dalam perimeter yang sama. Biasanya ada dua resource yang terlibat dalam permintaan pemecahan masalah:

Referensi yang aksesnya Anda pecahkan masalahnya. Resource ini dapat berupa jenis apa pun. Anda menentukan resource ini secara eksplisit saat memecahkan masalah kebijakan IAM.
Referensi yang Anda gunakan untuk memecahkan masalah akses. Resource ini harus berupa project, folder, atau organisasi. Di konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.

Resource ini dapat sama dengan resource yang aksesnya sedang Anda pecahkan masalahnya, tetapi tidak harus demikian.

Jika resource ini tidak berada dalam perimeter yang sama, permintaan akan gagal.

Untuk detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Pemecah Masalah Kebijakan, lihat entri Pemecah Masalah Kebijakan di tabel produk yang didukung Kontrol Layanan VPC.

Membantu mengamankan Policy Simulator API

Saat Anda membatasi Policy Simulator API dengan perimeter, prinsipal dapat menyimulasikan kebijakan izin hanya jika resource tertentu yang terlibat dalam simulasi berada dalam perimeter yang sama. Ada beberapa resource yang terlibat dalam simulasi:

Resource yang kebijakan izinnya Anda simulasikan. Resource ini juga disebut resource target. Di konsol Google Cloud, ini adalah resource yang kebijakan izinnya Anda edit. Di gcloud CLI dan REST API, Anda menentukan resource ini secara eksplisit saat menyimulasikan kebijakan izin.
Project, folder, atau organisasi yang membuat dan menjalankan simulasi. Resource ini juga disebut resource host. Di konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.

Resource ini dapat sama dengan resource target, tetapi tidak perlu sama.
Resource yang menyediakan log akses untuk simulasi. Dalam simulasi, selalu ada satu resource yang menyediakan log akses untuk simulasi. Resource ini bervariasi bergantung pada jenis resource target:
- Jika Anda menyimulasikan kebijakan izin untuk project atau organisasi, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi tersebut.
- Jika Anda menyimulasikan kebijakan izin untuk jenis resource yang berbeda, Policy Simulator akan mengambil log akses untuk project atau organisasi induk resource tersebut.
- Jika Anda menyimulasikan beberapa kebijakan izin resource sekaligus, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi umum terdekat resource.
Semua resource yang didukung dengan kebijakan izin yang relevan. Saat menjalankan simulasi, Policy Simulator mempertimbangkan semua kebijakan izin yang mungkin memengaruhi akses pengguna, termasuk kebijakan izin pada resource ancestor dan resource turunan resource target. Akibatnya, resource ancestor dan turunan ini juga terlibat dalam simulasi.

Jika resource target dan resource host tidak berada dalam perimeter yang sama, permintaan akan gagal.

Jika resource target dan resource yang menyediakan log akses untuk simulasi tidak berada dalam perimeter yang sama, permintaan akan gagal.

Jika resource target dan beberapa resource yang didukung dengan kebijakan izin yang relevan tidak berada dalam perimeter yang sama, permintaan akan berhasil, tetapi hasilnya mungkin tidak lengkap. Misalnya, jika Anda menyimulasikan kebijakan untuk project dalam perimeter, hasilnya tidak akan menyertakan kebijakan izin organisasi induk project, karena organisasi selalu berada di luar perimeter Kontrol Layanan VPC. Untuk mendapatkan hasil yang lebih lengkap, Anda dapat mengonfigurasi aturan masuk dan keluar untuk perimeter.

Untuk detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Policy Simulator, lihat entri Policy Simulator di tabel produk yang didukung Kontrol Layanan VPC.

Langkah selanjutnya

Pelajari cara Membuat perimeter layanan.