Con i Controlli di servizio VPC, puoi creare perimetri, che sono confini per le tue risorse Google Cloud. Puoi quindi definire i criteri di sicurezza che impediscono l'accesso ai servizi supportati dall'esterno del perimetro. Per ulteriori informazioni sui Controlli di servizio VPC, consulta Panoramica.
Puoi utilizzare i Controlli di servizio VPC per proteggere quanto segue API Policy Intelligence:
- API Policy Troubleshooting
- API Policy Simulator
Contribuisci a proteggere l'API Policy Troubleshooter
Puoi contribuire a proteggere la risoluzione dei problemi relativi ai criteri utilizzando Controlli di servizio VPC.
Quando limiti l'API Policy Troubleshooter con un perimetro, le entità possono risolvere i problemi relativi ai criteri IAM solo se tutte le risorse coinvolti nella richiesta si trovano nello stesso perimetro. Di solito ci sono due risorse coinvolte in una richiesta di risoluzione dei problemi:
La risorsa per cui stai risolvendo i problemi di accesso. Questa risorsa può essere qualsiasi di testo. Specifica esplicitamente questa risorsa quando risolvi i problemi criterio IAM.
La risorsa che utilizzi per risolvere i problemi di accesso. Questa risorsa deve essere un progetto, una cartella o un'organizzazione. Nella console Google Cloud gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifichi questo utilizzando l'intestazione
x-goog-user-project.Questa risorsa può essere uguale a quella di cui stai risolvendo i problemi ma non è necessario che lo sia.
Se queste risorse non si trovano nello stesso perimetro, la richiesta non riesce.
Per maggiori dettagli su come funzionano i Controlli di servizio VPC Strumento per la risoluzione dei problemi relativi ai criteri, consulta Voce dello strumento per la risoluzione dei problemi relativi ai criteri nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Contribuisci a proteggere l'API Policy Simulator
Quando limiti l'API Policy Simulator con un perimetro, possono simulare criteri di autorizzazione solo se determinate risorse coinvolti nella simulazione si trovano nello stesso perimetro. Esistono diversi risorse coinvolte in una simulazione:
La risorsa per la quale stai simulando il criterio di autorizzazione. Questa risorsa è chiamata anche risorsa di destinazione. Nella console Google Cloud, questa è la risorsa di cui stai modificando il criterio di autorizzazione. In gcloud CLI API REST, devi specificare esplicitamente questa risorsa quando si simula una richiesta .
Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è anche chiamata risorsa host. Nella Console Google Cloud e gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nel REST API, devi specificare questa risorsa utilizzando l'intestazione
x-goog-user-project.Questa risorsa può essere uguale alla risorsa di destinazione, ma non è necessario possono esserlo.
La risorsa che fornisce i log di accesso per la simulazione. In un simulazione, c'è sempre una risorsa che fornisce i log di accesso di simulazione. Questa risorsa varia a seconda del tipo di risorsa di destinazione:
- Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Controller Il simulatore recupera i log di accesso per il progetto o l'organizzazione.
- Se stai simulando un criterio di autorizzazione per un altro tipo di risorsa, Policy Simulator recupera i log di accesso per l'elemento padre di quella risorsa progetto o organizzazione.
- Se stai simulando più risorse consentire criteri contemporaneamente, Policy Controller Il simulatore recupera i log di accesso per le risorse comune più prossimo progetto o organizzazione.
Tutte le risorse supportate con criteri di autorizzazione pertinenti. Quando il criterio Il simulatore esegue una simulazione, prende in considerazione tutti i criteri di autorizzazione influire sull'accesso dell'utente, inclusi i criteri di autorizzazione risorse predecessore e discendenti. Di conseguenza, questi predecessori e discendenti sono coinvolte anche nelle simulazioni.
Se la risorsa di destinazione e la risorsa host non si trovano nello stesso perimetro, non va a buon fine.
Se la risorsa di destinazione e quella che fornisce i log di accesso non si trovano nello stesso perimetro, la richiesta non riesce.
Se la risorsa di destinazione e alcune risorse supportate con i criteri di autorizzazione pertinenti non si trovano nello stesso perimetro, le richieste hanno esito positivo, ma i risultati incompleta. Ad esempio, se stai simulando un criterio per un progetto in una i risultati non includeranno il criterio di autorizzazione dell'elemento padre del progetto dell'organizzazione, perché le organizzazioni sono sempre esterne ai Controlli di servizio VPC perimetri. Per ottenere risultati più completi, puoi configurare il traffico in entrata e in uscita per il perimetro.
Per ulteriori dettagli su come funzionano i Controlli di servizio VPC con Policy Simulator, consulta la voce del Simulatore di criteri nei prodotti supportati dai Controlli di servizio VPC dalla tabella.
Passaggi successivi
- Scopri come creare un perimetro di servizio.