Ajudar a proteger APIs Policy Intelligence com o VPC Service Controls

Com o VPC Service Controls, é possível criar perímetros, que são limites em torno dos recursos do Google Cloud. Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.

É possível usar o VPC Service Controls para ajudar a proteger as seguintes APIs do Policy Intelligence:

  • API Policy Troubleshooter
  • API Policy Simulator

Ajudar a proteger a API Policy Troubleshooter

Ajude a proteger a solução de problemas de políticas usando o VPC Service Controls.

Quando você restringe a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas de políticas do IAM se todos os recursos envolvidos na solicitação estiverem no mesmo perímetro. Normalmente, existem dois recursos envolvidos em uma solicitação de solução de problemas:

  • O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser de qualquer tipo. Você especifica explicitamente esse recurso ao solucionar problemas de uma política do IAM.

  • O recurso que você está usando para resolver problemas de acesso. Esse recurso precisa ser um projeto, uma pasta ou uma organização. No console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho x-goog-user-project.

    Esse recurso pode ser igual ao recurso a que você está solucionando problemas de acesso, mas não precisa ser.

Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.

Para mais detalhes sobre como o VPC Service Controls funciona com o solucionador de problemas de políticas, consulte a entrada do solucionador de problemas de políticas na tabela de produtos compatíveis com o VPC Service Controls.

Ajudar a proteger a API Policy Simulator

Quando você restringe a API Policy Simulator com um perímetro, os principais só podem simular políticas de permissão se determinados recursos envolvidos na simulação estão no mesmo perímetro. Há vários recursos envolvidos em uma simulação:

  • O recurso com a política de permissão que você está simulando. Esse recurso também é chamado de recurso de destino. No Console do Google Cloud, esse é o recurso com a política de permissão que você está editando. Na CLI gcloud e na API REST, você especifica explicitamente esse recurso ao simular uma política de permissão.

  • O projeto, a pasta ou a organização que cria e executa a simulação. Esse recurso também é chamado de recurso de host. No Console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho x-goog-user-project.

    Esse recurso pode ser igual ao recurso de destino, mas isso não é obrigatório.

  • O recurso que fornece registros de acesso para a simulação. Em uma simulação, sempre há um recurso que fornece registros de acesso para a simulação. Este recurso varia de acordo com o tipo de recurso de destino:

    • Se estiver simulando uma política de permissão para um projeto ou uma organização, o Simulador de política recuperará os registros de acesso desse projeto ou organização.
    • Se você estiver simulando uma política de permissão para um tipo diferente de recurso, o Simulador de política recupera os registros de acesso para o projeto pai ou a organização desse recurso.
    • Se você estiver simulando políticas de permissão de vários recursos de uma só vez, o Simulador de política recuperará os registros de acesso para o projeto ou a organização comum mais próxima dos recursos.
  • Todos os recursos compatíveis com políticas de permissão relevantes. Quando o simulador de políticas executa uma simulação, ele considera todas as políticas de permissão que podem afetar o acesso do usuário, incluindo as políticas de permissão nos recursos ancestrais e descendentes do recurso de destino. Como resultado, esses recursos ancestrais e descendentes também estão envolvidos nas simulações.

Se o recurso de destino e o recurso host não estiverem no mesmo perímetro, a solicitação falhará.

Se o recurso de destino e o recurso que fornece registros de acesso para a simulação não estiverem no mesmo perímetro, a solicitação falhará.

Se o recurso de destino e alguns recursos compatíveis com políticas de permissão relevantes não estiverem no mesmo perímetro, as solicitações serão bem-sucedidas, mas os resultados poderão estar incompletos. Por exemplo, se você estiver simulando uma política para um projeto em um perímetro, os resultados não incluirão a política de permissão da organização pai do projeto, porque as organizações estão sempre fora dos perímetros do VPC Service Controls. Para resultados mais completos, configure as regras de entrada e saída do perímetro.

Para mais detalhes sobre como o VPC Service Controls funciona com o Simulador de política, consulte a entrada do Simulador de política na tabela de produtos compatíveis com o VPC Service Controls.

A seguir