Com o VPC Service Controls, é possível criar perimeters, que são limites em torno dos recursos do Google Cloud. Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.
É possível usar o VPC Service Controls para proteger as seguintes APIs Policy Intelligence:
- API Policy Troubleshooter
- API Policy Simulator
Ajudar a proteger a API Policy solucionador de problemas
Ajude a proteger a solução de problemas de políticas usando o VPC Service Controls.
Quando você restringe a API Policy solucionador de problemas com um perímetro, os principais podem solucionar problemas de políticas do IAM somente se todos os recursos envolvidos na solicitação estiverem no mesmo perímetro. Geralmente, há dois recursos envolvidos em uma solicitação de solução de problemas:
O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser de qualquer tipo. Você especifica explicitamente esse recurso ao solucionar problemas de uma política do IAM.
O recurso que você está usando para resolver problemas de acesso. Esse recurso precisa ser um projeto, uma pasta ou uma organização. No console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, especifique esse recurso usando o cabeçalho
x-goog-user-project.Esse recurso pode ser igual ao recurso com o qual você está resolvendo problemas de acesso, mas não precisa ser assim.
Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.
Para mais detalhes sobre como o VPC Service Controls funciona com o solucionador de problemas de políticas, consulte a entrada do recurso na tabela de produtos compatíveis com o VPC Service Controls.
Proteger a API Policy Simulator
Quando você restringe a API Policy Simulator com um perímetro, os principais podem simular políticas de permissão somente se determinados recursos envolvidos na simulação estiverem no mesmo perímetro. Há vários recursos envolvidos em uma simulação:
O recurso com a política de permissão que você está simulando. Esse recurso também é chamado de recurso de destino. No console do Google Cloud, esse é o recurso com a política de permissão que você está editando. Na CLI gcloud e na API REST, especifique explicitamente esse recurso ao simular uma política de permissão.
O projeto, a pasta ou a organização que cria e executa a simulação. Esse recurso também é chamado de recurso de host. No console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, especifique esse recurso usando o cabeçalho
x-goog-user-project.Esse recurso pode ser igual ao recurso de destino, mas não precisa ser.
O recurso que fornece registros de acesso para a simulação. Em uma simulação, sempre há um recurso que fornece registros de acesso para a simulação. Esse recurso varia de acordo com o tipo de recurso de destino:
- Se você estiver simulando uma política de permissão para um projeto ou uma organização, o Simulador de Política vai recuperar os registros de acesso desse projeto ou organização.
- Se você estiver simulando uma política de permissão para um tipo diferente de recurso, Simulador de política recuperará os registros de acesso do projeto ou da organização pai desse recurso.
- Se você estiver simulando políticas de permissão de vários recursos de uma só vez, o Simulador de política recuperará os registros de acesso do projeto ou organização comum mais próxima dos recursos.
Todos os recursos compatíveis com políticas de permissão relevantes. Quando o Simulador de política executa uma simulação, ele considera todas as políticas de permissão que podem afetar o acesso do usuário, incluindo políticas de permissão nos recursos ancestral e descendente do recurso de destino. Como resultado, esses recursos ancestral e descendente também estão envolvidos em simulações.
Se o recurso de destino e o recurso host não estiverem no mesmo perímetro, a solicitação falhará.
Se o recurso de destino e o recurso que fornece registros de acesso para a simulação não estiverem no mesmo perímetro, a solicitação falhará.
Se o recurso de destino e alguns recursos compatíveis com políticas de permissão relevantes não estiverem no mesmo perímetro, as solicitações serão bem-sucedidas, mas os resultados poderão ser incompletos. Por exemplo, se você estiver simulando uma política para um projeto em um perímetro, os resultados não vão incluir a política de permissão da organização mãe do projeto, porque as organizações estão sempre fora dos perímetros do VPC Service Controls. Para ter resultados mais completos, configure regras de entrada e saída para o perímetro.
Para mais detalhes sobre como o VPC Service Controls funciona com o Simulador de política, consulte a entrada do simulador de política na tabela de produtos compatíveis com o VPC Service Controls.
A seguir
- Saiba como criar um perímetro de serviço.