Com o VPC Service Controls, é possível criar perímetros, que são limites em torno dos recursos do Google Cloud. Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.
Use o VPC Service Controls para proteger as seguintes APIs Policy Intelligence:
- API Policy Troubleshooter
- API Policy Simulator
Proteger a API Policy Troubleshooter
É possível usar o VPC Service Controls para ajudar a resolver problemas de políticas.
Quando você restringe a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas de políticas do IAM se todos os recursos envolvidos na solicitação estiverem no mesmo perímetro. Geralmente, há dois recursos envolvidos em uma solicitação de solução de problemas:
O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser de qualquer tipo. Especifique explicitamente esse recurso ao resolver problemas de uma política do IAM.
O recurso que você está usando para resolver problemas de acesso. Esse recurso precisa ser um projeto, uma pasta ou uma organização. No console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, especifique esse recurso usando o cabeçalho
x-goog-user-project.Esse recurso pode ser igual ao recurso para o qual você está resolvendo problemas de acesso, mas não precisa ser.
Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.
Para mais detalhes sobre como o VPC Service Controls funciona com o Solucionador de problemas de políticas, consulte a entrada do Solucionador de problemas de políticas na tabela de produtos compatíveis com o VPC Service Controls.
Proteger a API Policy Simulator
Ao restringir a API Policy Simulator com um perímetro, os principais só podem simular políticas de permissão se determinados recursos envolvidos na simulação estiverem no mesmo perímetro. Vários recursos são envolvidos em uma simulação:
O recurso com a política de permissão que você está simulando. Esse recurso também é chamado de recurso de destino. No console do Google Cloud, esse é o recurso com a política de permissão que você está editando. Na CLI gcloud e na API REST, você especifica esse recurso explicitamente ao simular uma política de permissão.
O projeto, a pasta ou a organização que cria e executa a simulação. Esse recurso também é chamado de recurso host. No console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho
x-goog-user-project.Esse recurso pode ser igual ao recurso de destino, mas não precisa ser.
O recurso que fornece registros de acesso para a simulação. Em uma simulação, sempre há um recurso que fornece registros de acesso para a simulação. Esse recurso varia de acordo com o tipo de recurso de destino:
- Se você estiver simulando uma política de permissão para um projeto ou organização, o Simulador de políticas vai recuperar os registros de acesso para esse projeto ou organização.
- Se você estiver simulando uma política de permissão para um tipo diferente de recurso, o Simulador de política vai recuperar os registros de acesso do projeto ou da organização pai desse recurso.
- Se você estiver simulando as políticas de permissão de vários recursos de uma só vez, o Simulador de políticas vai recuperar os registros de acesso do projeto ou da organização comum mais próximo dos recursos.
Todos os recursos com suporte e políticas de permissão relevantes. Quando o Simulador de política executa uma simulação, ele considera todas as políticas de permissão que podem afetar o acesso do usuário, incluindo as políticas de permissão nos recursos ancestral e descendente do recurso de destino. Como resultado, esses recursos ancestrais e descendentes também são envolvidos em simulações.
Se o recurso de destino e o recurso de host não estiverem no mesmo perímetro, a solicitação falhará.
Se o recurso de destino e o recurso que fornece registros de acesso para a simulação não estiverem no mesmo perímetro, a solicitação falhará.
Se o recurso de destino e alguns recursos compatíveis com políticas de permissão relevantes não estiverem no mesmo perímetro, as solicitações serão bem-sucedidas, mas os resultados poderão ser incompletos. Por exemplo, se você estiver simulando uma política para um projeto em um perímetro, os resultados não vão incluir a política de permissão da organização mãe do projeto, porque as organizações estão sempre fora dos perímetros do VPC Service Controls. Para resultados mais completos, configure regras de entrada e saída para o perímetro.
Para mais detalhes sobre como o VPC Service Controls funciona com Simulador de política, consulte a entrada do simulador de políticas na tabela de produtos compatíveis com o VPC Service Controls.
A seguir
- Saiba como criar um perímetro de serviço.