Proteger as APIs Policy Intelligence com o VPC Service Controls

Com o VPC Service Controls, é possível criar perímetros, que são limites em torno dos recursos do Google Cloud. Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.

O VPC Service Controls pode ser usado para proteger os seguintes APIs Policy Intelligence:

  • API Policy Troubleshooter
  • API Policy Simulator

Ajudar a proteger a API Policy Solucionador de problemas

É possível usar o VPC Service Controls para ajudar a resolver problemas de políticas.

Quando você restringe a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas de políticas do IAM se todos os recursos envolvidos na solicitação estiverem no mesmo perímetro. Geralmente, há duas recursos envolvidos em uma solicitação de solução de problemas:

  • O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser qualquer não é válido. Especifique explicitamente esse recurso ao resolver problemas de uma política do IAM.

  • O recurso que você está usando para resolver problemas de acesso. Esse recurso precisa ser um projeto, uma pasta ou uma organização. No console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, especifique esse recurso usando o cabeçalho x-goog-user-project.

    Esse recurso pode ser igual ao recurso para o qual você está resolvendo problemas de acesso, mas não precisa ser.

Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.

Para mais detalhes sobre como o VPC Service Controls funciona com o solucionador de problemas de políticas, Entrada do solucionador de problemas de políticas tabela de produtos compatíveis com o VPC Service Controls

Proteger a API Policy Simulator

Quando você restringe a API Policy Simulator com um perímetro, principais só podem simular políticas de permissão se determinados recursos envolvidos na simulação estejam no mesmo perímetro. Existem várias recursos envolvidos em uma simulação:

  • O recurso com a política de permissão que você está simulando. Este recurso é também chamado de recurso de destino. No console do Google Cloud, recurso com uma política de permissão que você está editando. Na CLI gcloud e na API REST, você especifica esse recurso explicitamente ao simular uma política de permissão.

  • O projeto, a pasta ou a organização que cria e executa a simulação. Esse recurso também é chamado de recurso host. No console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho x-goog-user-project.

    Esse recurso pode ser igual ao recurso de destino, mas não precisa ser.

  • O recurso que fornece registros de acesso para a simulação. Em um do Google, sempre há um recurso que fornece registros de acesso para o simulação. Esse recurso varia de acordo com o tipo de recurso de destino:

    • Se você estiver simulando uma política de permissão para um projeto ou organização, O simulador recupera os registros de acesso desse projeto ou organização.
    • Se você estiver simulando uma política de permissão para um tipo diferente de recurso, O Simulador de política recupera os registros de acesso do pai desse recurso um projeto ou uma organização.
    • Se você estiver simulando vários recursos permitir políticas de uma só vez, política O simulador recupera os registros de acesso dos recursos comum mais próximo um projeto ou uma organização.
  • Todos os recursos compatíveis com políticas de permissão relevantes. Política Quando O simulador executa uma simulação e considera todas as políticas de permissão que podem afetar o acesso dos usuários, incluindo as políticas de permissão no sistema ancestrais e descendentes de recursos. Como resultado, esses ancestrais e descendentes recursos também estão envolvidos em simulações.

Se o recurso de destino e o recurso de host não estiverem no mesmo perímetro, a solicitação falhará.

Se o recurso de destino e o que fornece registros de acesso para o não estiverem no mesmo perímetro, a solicitação falhará.

Se o recurso de destino e alguns recursos com suporte com políticas de permissão relevantes não estiverem no mesmo perímetro, as solicitações serão bem-sucedidas, mas os resultados incompletas. Por exemplo, se você estiver simulando uma política para um projeto em um do perímetro, os resultados não incluirão a política de permissão do projeto pai organização, porque as organizações estão sempre fora do VPC Service Controls de serviço. Para resultados mais completos, configure as opções de regras para o perímetro.

Para mais detalhes sobre como o VPC Service Controls funciona com o Simulador de política, consulte a entrada do Simulador de política na tabela de produtos compatíveis com o VPC Service Controls.

A seguir