Con i Controlli di servizio VPC, puoi creare perimetri, ovvero i confini intorno alle tue risorse Google Cloud. Puoi quindi definire criteri di sicurezza che contribuiscono a impedire l'accesso ai servizi supportati dall'esterno del perimetro. Per ulteriori informazioni sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.
Puoi utilizzare Controlli di servizio VPC per proteggere le seguenti API Policy Intelligence:
- API Policy Troubleshooting
- API Policy Simulator
Contribuisci a proteggere l'API Policy Troubleshooting
Puoi proteggere la risoluzione dei problemi relativi ai criteri utilizzando Controlli di servizio VPC.
Quando limiti l'API Policy Troubleshooting con un perimetro, i entità possono risolvere i problemi dei criteri IAM solo se tutte le risorse coinvolte nella richiesta si trovano nello stesso perimetro. In genere, due richieste di risoluzione dei problemi sono due:
La risorsa per cui stai risolvendo i problemi di accesso. Questo tipo di risorsa può essere di qualsiasi tipo. Puoi specificare esplicitamente questa risorsa durante la risoluzione dei problemi di un criterio IAM.
La risorsa che stai utilizzando per risolvere i problemi di accesso. Questa risorsa deve essere un progetto, una cartella o un'organizzazione. Nella console Google Cloud e nell'gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa utilizzando l'intestazione
x-goog-user-project.Può essere uguale alla risorsa per la quale stai risolvendo i problemi, ma non è necessario che sia.
Se queste risorse non si trovano nello stesso perimetro, la richiesta non riesce.
Per maggiori dettagli sul funzionamento di Controlli di servizio VPC con lo strumento per la risoluzione dei problemi relativi ai criteri, consulta la voce dello strumento per la risoluzione dei problemi relativi ai criteri nella tabella dei prodotti supportati di Controlli di servizio VPC.
Contribuisci a proteggere l'API Policy Simulator
Quando limiti l'API Policy Simulator con un perimetro, i entità possono simulare i criteri di autorizzazione solo se determinate risorse coinvolte nella simulazione si trovano nello stesso perimetro. Una simulazione include diverse risorse:
La risorsa di cui stai simulando il criterio di autorizzazione. Questa risorsa è detta anche risorsa di destinazione. Nella console Google Cloud, questa è la risorsa di cui stai modificando il criterio di autorizzazione. Nell'interfaccia alla gcloud CLI e nell'API REST, specifichi esplicitamente questa risorsa durante la simulazione di un criterio di autorizzazione.
Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è chiamata anche risorsa host. Nella console Google Cloud e nell'gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa utilizzando l'intestazione
x-goog-user-project.Questa risorsa può essere uguale alla risorsa di destinazione, ma non deve essere necessariamente.
La risorsa che fornisce i log di accesso per la simulazione. In una simulazione, c'è sempre una risorsa che fornisce i log di accesso per la simulazione. Questa risorsa varia in base al tipo di risorsa di destinazione:
- Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Simulators recupera i log di accesso per il progetto o l'organizzazione.
- Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione della risorsa principale.
- Se stai simulando l'accesso simultaneo di più risorse, Policy Simulators recupera i log di accesso per l'organizzazione o il progetto comune più vicino delle risorse.
Tutte le risorse supportate con criteri di autorizzazione pertinenti. Quando Policy Simulator è in esecuzione di una simulazione, prende in considerazione tutti i criteri che potrebbero influire sull'accesso dell'utente, inclusi i criteri consentiti sull'antenato e sulle risorse discendenti della risorsa di destinazione. Di conseguenza, anche queste risorse predecessori e discendenti sono coinvolte nelle simulazioni.
Se la risorsa di destinazione e la risorsa host non si trovano nello stesso perimetro, la richiesta non riesce.
Se la risorsa di destinazione e la risorsa che fornisce i log di accesso per la simulazione non si trovano nello stesso perimetro, la richiesta non riesce.
Se la risorsa di destinazione e alcune risorse supportate con criteri di autorizzazione pertinenti non si trovano nello stesso perimetro, le richieste hanno esito positivo, ma i risultati potrebbero essere incompleti. Ad esempio, se stai simulando un criterio per un progetto in un perimetro, i risultati non includeranno il criterio di autorizzazione dell'organizzazione principale del progetto, perché le organizzazioni sono sempre al di fuori dei perimetri Controlli di servizio VPC. Per ottenere risultati più completi, puoi configurare le regole per il traffico in entrata e in uscita per il perimetro.
Per maggiori dettagli su come funziona Controlli di servizio VPC con Policy Simulator, consulta la voce di Policy Simulator nella tabella dei prodotti supportati di Controlli di servizio VPC.
Passaggi successivi
- Scopri come creare un perimetro di servizio.