Com os VPC Service Controls, pode criar perímetros, que são limites em torno dos seus Google Cloud recursos. Em seguida, pode definir políticas de segurança que ajudam a impedir o acesso a serviços suportados a partir do exterior do perímetro. Para mais informações sobre os VPC Service Controls, consulte a vista geral dos VPC Service Controls.
Pode usar os VPC Service Controls para ajudar a proteger as seguintes APIs Policy Intelligence:
- API Policy Troubleshooter
- API Policy Simulator
Ajude a proteger a API Policy Troubleshooter
Pode ajudar a proteger a resolução de problemas de políticas através dos VPC Service Controls.
Quando restringe a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas de políticas de IAM se todos os recursos envolvidos no pedido estiverem no mesmo perímetro. Normalmente, existem dois recursos envolvidos num pedido de resolução de problemas:
O recurso para o qual está a resolver problemas de acesso. Este recurso pode ser de qualquer tipo. Especifica explicitamente este recurso quando resolve problemas de uma política IAM.
O recurso que está a usar para resolver problemas de acesso. Este recurso tem de ser um projeto, uma pasta ou uma organização. Na Google Cloud consola e na CLI gcloud, este recurso é inferido com base no projeto, na pasta ou na organização que selecionou. Na API REST, especifica este recurso através do cabeçalho
x-goog-user-project.Este recurso pode ser o mesmo que o recurso para o qual está a resolver problemas de acesso, mas não tem de o ser.
Se estes recursos não estiverem no mesmo perímetro, o pedido falha.
Para mais detalhes sobre como o VPC Service Controls funciona com a resolução de problemas de políticas, consulte a entrada da resolução de problemas de políticas na tabela de produtos suportados pelo VPC Service Controls.
Ajude a proteger a API Policy Simulator
Quando restringe a API Policy Simulator com um perímetro, os principais só podem simular políticas de autorização se determinados recursos envolvidos na simulação estiverem no mesmo perímetro. Existem vários recursos envolvidos numa simulação:
O recurso cuja política de permissão está a simular. Este recurso também é denominado recurso de destino. Na Google Cloud consola, este é o recurso cuja política de autorização está a editar. Na CLI gcloud e na API REST, especifica explicitamente este recurso quando simula uma política de permissão.
O projeto, a pasta ou a organização que cria e executa a simulação. Este recurso também é denominado recurso anfitrião. Na Google Cloud consola e na CLI gcloud, este recurso é inferido com base no projeto, na pasta ou na organização que selecionou. Na API REST, especifica este recurso através do cabeçalho
x-goog-user-project.Este recurso pode ser igual ao recurso de destino, mas não tem de o ser.
O recurso que fornece registos de acesso para a simulação. Numa simulação, existe sempre um recurso que fornece registos de acesso para a simulação. Este recurso varia consoante o tipo de recurso de destino:
- Se estiver a simular uma política de permissão para um projeto ou uma organização, o Policy Simulator obtém os registos de acesso desse projeto ou organização.
- Se estiver a simular uma política de autorização para um tipo de recurso diferente, o Policy Simulator obtém os registos de acesso do projeto ou da organização principal desse recurso.
- Se estiver a simular as políticas de autorização de vários recursos em simultâneo, o simulador de políticas obtém os registos de acesso do projeto ou da organização comum mais próximo dos recursos.
Todos os recursos suportados com políticas de permissão relevantes. Quando o Policy Simulator executa uma simulação, considera todas as políticas de permissão que possam afetar o acesso do utilizador, incluindo políticas de permissão nos recursos antecessores e descendentes do recurso de destino. Como resultado, estes recursos principais e subordinados também estão envolvidos nas simulações.
Se o recurso de destino e o recurso anfitrião não estiverem no mesmo perímetro, o pedido falha.
Se o recurso de destino e o recurso que fornece registos de acesso para a simulação não estiverem no mesmo perímetro, o pedido falha.
Se o recurso de destino e alguns recursos suportados com políticas de autorização relevantes não estiverem no mesmo perímetro, os pedidos são bem-sucedidos, mas os resultados podem estar incompletos. Por exemplo, se estiver a simular uma política para um projeto num perímetro, os resultados não incluem a política de permissão da organização principal do projeto, porque as organizações estão sempre fora dos perímetros dos VPC Service Controls. Para obter resultados mais completos, pode configurar regras de entrada e saída para o perímetro.
Para mais detalhes sobre como o VPC Service Controls funciona com o Simulador de políticas, consulte a entrada do Simulador de políticas na tabela de produtos suportados do VPC Service Controls.
O que se segue?
- Saiba como criar um perímetro de serviço.