Com o VPC Service Controls, é possível criar perímetros, que são limites em torno dos recursos do Google Cloud . Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.
Use o VPC Service Controls para proteger as seguintes APIs do Policy Intelligence:
- API Policy Troubleshooter
- API Policy Simulator
Proteger a API Policy Troubleshooter
É possível proteger a solução de problemas de políticas usando o VPC Service Controls.
Quando você restringe a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas de políticas do IAM se todos os recursos envolvidos na solicitação estiverem no mesmo perímetro. Geralmente, há dois recursos envolvidos em uma solicitação de solução de problemas:
O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser de qualquer tipo. Especifique explicitamente esse recurso ao resolver problemas de uma política do IAM.
O recurso que você está usando para resolver problemas de acesso. Esse recurso precisa ser um projeto, uma pasta ou uma organização. No console Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho
x-goog-user-project.Esse recurso pode ser igual ao recurso para o qual você está resolvendo problemas de acesso, mas não precisa ser.
Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.
Para mais detalhes sobre como o VPC Service Controls funciona com o solucionador de problemas de política, consulte a entrada do solucionador de problemas de política na tabela de produtos compatíveis com o VPC Service Controls.
Proteger a API Policy Simulator
Ao restringir a API do Simulador de política com um perímetro, os principais só podem simular políticas de permissão se determinados recursos envolvidos na simulação estiverem no mesmo perímetro. Vários recursos são envolvidos em uma simulação:
O recurso com a política de permissão que você está simulando. Esse recurso também é chamado de recurso de destino. No console do Google Cloud , esse é o recurso com a política de permissão que você está editando. Na CLI gcloud e na API REST, você especifica esse recurso explicitamente ao simular uma política de permissão.
O projeto, a pasta ou a organização que cria e executa a simulação. Esse recurso também é chamado de recurso host. No Google Cloud console e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho
x-goog-user-project.Esse recurso pode ser igual ao recurso de destino, mas não precisa ser.
O recurso que fornece registros de acesso para a simulação. Em uma simulação, sempre há um recurso que fornece registros de acesso para ela. Esse recurso varia de acordo com o tipo de recurso de destino:
- Se você estiver simulando uma política de permissão para um projeto ou organização, o Simulador de política vai recuperar os registros de acesso desse projeto ou organização.
- Se você estiver simulando uma política de permissão para um tipo diferente de recurso, o Simulador de política recupera os registros de acesso do projeto ou da organização pai desse recurso.
- Se você estiver simulando as políticas de permissão de vários recursos de uma só vez, o Simulador de políticas vai recuperar os registros de acesso do projeto ou da organização comum mais próximo dos recursos.
Todos os recursos compatíveis com políticas de permissão relevantes. Quando o Simulador de política executa uma simulação, ele considera todas as políticas de permissão que podem afetar o acesso do usuário, incluindo as políticas de permissão nos recursos ancestrais e descendentes do recurso de destino. Como resultado, esses recursos ancestrais e descendentes também são envolvidos em simulações.
Se o recurso de destino e o recurso host não estiverem no mesmo perímetro, a solicitação vai falhar.
Se o recurso de destino e o recurso que fornece registros de acesso para a simulação não estiverem no mesmo perímetro, a solicitação vai falhar.
Se o recurso de destino e alguns recursos compatíveis com políticas de permissão relevantes não estiverem no mesmo perímetro, as solicitações serão bem-sucedidas, mas os resultados poderão ser incompletos. Por exemplo, se você estiver simulando uma política para um projeto em um perímetro, os resultados não incluirão a política de permissão da organização-pai do projeto, porque as organizações estão sempre fora dos perímetros do VPC Service Controls. Para ter resultados mais completos, configure regras de entrada e saída para o perímetro.
Para mais detalhes sobre como o VPC Service Controls funciona com o Simulador de política, consulte a entrada do Simulador de políticas na tabela de produtos compatíveis com o VPC Service Controls.
A seguir
- Saiba como criar um perímetro de serviço.