Dengan Kontrol Layanan VPC, Anda dapat membuat perimeters, yang merupakan batas di sekitar resource Google Cloud Anda. Kemudian, Anda dapat menentukan kebijakan keamanan yang membantu mencegah akses ke layanan yang didukung dari luar perimeter. Untuk informasi lebih lanjut tentang Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC.
Anda dapat menggunakan Kontrol Layanan VPC untuk membantu mengamankan Policy Intelligence API berikut:
- API Pemecah Masalah Kebijakan
- API Simulator Kebijakan
Membantu mengamankan Policy Pemecah Masalah API
Anda dapat membantu mengamankan pemecahan masalah kebijakan dengan menggunakan Kontrol Layanan VPC.
Saat Anda membatasi Policy Pemecah Masalah API dengan perimeter, akun utama dapat memecahkan masalah kebijakan IAM hanya jika semua resource yang terlibat dalam permintaan berada di perimeter yang sama. Biasanya ada dua resource yang terlibat dalam permintaan pemecahan masalah:
Referensi yang aksesnya Anda pecahkan. Resource ini dapat berupa jenis apa pun. Anda secara eksplisit menentukan resource ini saat memecahkan masalah kebijakan IAM.
Resource yang Anda gunakan untuk memecahkan masalah akses. Resource ini harus berupa project, folder, atau organisasi. Di Google Cloud Console dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header
x-goog-user-project.Resource ini dapat sama dengan resource yang aksesnya Anda pemecahan masalah, tetapi tidak harus demikian.
Jika resource ini tidak berada di perimeter yang sama, permintaan akan gagal.
Untuk mengetahui detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Pemecah Masalah Kebijakan, lihat entri Pemecah Masalah Kebijakan di tabel produk yang didukung Kontrol Layanan VPC.
Bantu mengamankan Policy Simulator API
Saat Anda membatasi Policy Simulator API dengan perimeter, utama dapat menyimulasikan kebijakan izinkan hanya jika resource tertentu yang terlibat dalam simulasi berada di perimeter yang sama. Ada beberapa resource yang terlibat dalam simulasi:
Resource yang kebijakan izinkannya Anda simulasi. Resource ini juga disebut resource target. Di Konsol Google Cloud, ini adalah resource yang kebijakan izinkannya sedang Anda edit. Di gcloud CLI dan REST API, Anda menentukan resource ini secara eksplisit saat menyimulasikan kebijakan izinkan.
Project, folder, atau organisasi yang membuat dan menjalankan simulasi. Resource ini juga disebut resource host. Di Google Cloud Console dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header
x-goog-user-project.Resource ini dapat sama dengan resource target, tetapi tidak seharusnya demikian.
Resource yang menyediakan log akses untuk simulasi. Dalam simulasi, selalu ada satu resource yang menyediakan log akses untuk simulasi. Resource ini bervariasi bergantung pada jenis resource target:
- Jika Anda menyimulasikan kebijakan izinkan untuk project atau organisasi, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi tersebut.
- Jika Anda menyimulasikan kebijakan izinkan untuk berbagai jenis resource, Simulator Kebijakan akan mengambil log akses untuk organisasi atau project induk resource tersebut.
- Jika Anda menyimulasikan beberapa kebijakan izin resource sekaligus, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi umum terdekat dari resource.
Semua resource yang didukung dengan kebijakan izin yang relevan. Saat menjalankan simulasi, Simulator Kebijakan mempertimbangkan semua kebijakan izinkan yang mungkin memengaruhi akses pengguna, termasuk kebijakan izinkan pada ancestor dan resource turunan resource target. Akibatnya, resource ancestor dan turunan ini juga terlibat dalam simulasi.
Jika resource target dan resource host tidak berada di perimeter yang sama, permintaan akan gagal.
Jika resource target dan resource yang menyediakan log akses untuk simulasi tidak berada di perimeter yang sama, permintaan akan gagal.
Jika resource target dan beberapa resource yang didukung dengan kebijakan izin yang relevan tidak berada dalam perimeter yang sama, permintaan akan berhasil, tetapi hasilnya mungkin tidak lengkap. Misalnya, jika Anda menyimulasikan kebijakan untuk project dalam perimeter, hasilnya tidak akan mencakup kebijakan izin organisasi induk project, karena organisasi selalu berada di luar perimeter Kontrol Layanan VPC. Untuk mendapatkan hasil yang lebih lengkap, Anda dapat mengonfigurasi aturan masuk dan keluar untuk perimeter.
Untuk detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Simulator Kebijakan, lihat entri Simulator Kebijakan di tabel produk yang didukung Kontrol Layanan VPC.
Langkah selanjutnya
- Pelajari cara Membuat perimeter layanan.