Com o VPC Service Controls, é possível criar perímetros, que são limites em torno dos recursos do Google Cloud. Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.
Use o VPC Service Controls para proteger os seguintes APIs Policy Intelligence:
- API Policy Troubleshooter
- API Policy Simulator
Ajudar a proteger a API Policy Solucionador de problemas
Ajude a proteger a solução de problemas de políticas usando o VPC Service Controls.
Quando você restringe a API Policy solucionador de problemas a um perímetro, principais só podem resolver problemas de políticas do IAM envolvidas na solicitação estejam no mesmo perímetro. Geralmente, há duas recursos envolvidos em uma solicitação de solução de problemas:
O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser qualquer não é válido. Você especifica explicitamente esse recurso ao resolver problemas de um política do IAM.
O recurso que você está usando para resolver problemas de acesso. Esse recurso precisa ser um projeto, uma pasta ou uma organização. No console do Google Cloud e CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou organização que você selecionou. Na API REST, você especifica isso usando o cabeçalho
x-goog-user-project.Este recurso pode ser o mesmo que você está solucionando acesso, mas isso não é obrigatório.
Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.
Para mais detalhes sobre como o VPC Service Controls funciona com o solucionador de problemas de políticas, Entrada do solucionador de problemas de políticas tabela de produtos compatíveis com o VPC Service Controls
Ajudar a proteger a API Policy Simulator
Quando você restringe a API Policy Simulator com um perímetro, principais só podem simular políticas de permissão se determinados recursos envolvidos na simulação estejam no mesmo perímetro. Existem várias recursos envolvidos em uma simulação:
O recurso com a política de permissão que você está simulando. Este recurso é também chamado de recurso de destino. No console do Google Cloud, recurso com uma política de permissão que você está editando. Na CLI gcloud e API REST, você especifica explicitamente esse recurso ao simular uma solicitação política.
O projeto, a pasta ou a organização que cria e executa a simulação. Esse recurso também é chamado de recurso host. Na o console do Google Cloud e CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização que você selecionou. No REST API, especifique esse recurso usando o cabeçalho
x-goog-user-project.Esse recurso pode ser igual ao de destino, mas não precisa o endereço IP.
O recurso que fornece registros de acesso para a simulação. Em um do Google, sempre há um recurso que fornece registros de acesso para o simulação. Esse recurso varia de acordo com o tipo de recurso de destino:
- Se você estiver simulando uma política de permissão para um projeto ou organização, O simulador recupera os registros de acesso desse projeto ou organização.
- Se você estiver simulando uma política de permissão para um tipo diferente de recurso, O Simulador de política recupera os registros de acesso do pai desse recurso um projeto ou uma organização.
- Se você estiver simulando vários recursos permitir políticas de uma só vez, política O simulador recupera os registros de acesso dos recursos comum mais próximo um projeto ou uma organização.
Todos os recursos compatíveis com políticas de permissão relevantes. Política Quando O simulador executa uma simulação e considera todas as políticas de permissão que podem afetar o acesso dos usuários, incluindo as políticas de permissão no sistema ancestrais e descendentes de recursos. Como resultado, esses ancestrais e descendentes recursos também estão envolvidos em simulações.
Se os recursos de destino e host não estiverem no mesmo perímetro, o falha.
Se o recurso de destino e o que fornece registros de acesso para o não estiverem no mesmo perímetro, a solicitação falhará.
Se o recurso de destino e alguns recursos compatíveis com as políticas de permissão relevantes não estiverem no mesmo perímetro, as solicitações serão bem-sucedidas, mas os resultados poderão incompletas. Por exemplo, se você estiver simulando uma política para um projeto em um do perímetro, os resultados não incluirão a política de permissão do projeto pai organização, porque as organizações estão sempre fora do VPC Service Controls de serviço. Para resultados mais completos, configure as opções de regras para o perímetro.
Para mais detalhes sobre como o VPC Service Controls funciona com o Simulador de política, consulte a entrada do Simulador de política nos produtos compatíveis com o VPC Service Controls tabela.
A seguir
- Saiba como criar um perímetro de serviço.