使用 VPC Service Controls 帮助保护 Policy Intelligence API

借助 VPC Service Controls,您可以为您的 Google Cloud 资源创建边界。然后,您可以定义安全政策,以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

您可以使用 VPC Service Controls 来帮助保护: Policy Intelligence API:

  • Policy Troubleshooter API
  • Policy Simulator API

帮助保护 Policy Troubleshooter API

您可以使用 VPC Service Controls 帮助保护政策问题排查。

如果您通过边界限制 Policy Troubleshooter API,则只有在请求中涉及的所有资源都位于同一边界内时,主账号才能排查 IAM 政策问题。通常有两个 问题排查请求所涉及的资源:

  • 您要排查其访问权限问题的资源。此资源可以是任何 类型。在对 IAM 政策。

  • 您用于排查访问权限问题的资源。此资源必须是 项目、文件夹或组织。在 Google Cloud 控制台和 gcloud CLI 中,系统会根据您选择的项目、文件夹或组织推断此资源。在 REST API 中,您可以指定 使用 x-goog-user-project 标头来标识资源。

    此资源可以与您要排查其访问权限问题的资源相同,但这不是必需的。

如果这些资源不在同一边界内,则请求失败。

如需详细了解 VPC Service Controls 如何与 Policy Troubleshooter,请参阅 政策问题排查工具条目: VPC Service Controls 支持的产品表

帮助保护 Policy Simulator API

使用边界限制 Policy Simulator API 时, 只有在特定资源符合要求时,主账号才能模拟允许政策 都位于同一个边界内这里有一些 模拟中涉及的资源:

  • 您正在模拟其允许政策的资源。此资源也称为目标资源。在 Google Cloud 控制台中 您正在修改其允许政策的资源。在 gcloud CLI 中, REST API,请在模拟允许事件时明确指定此资源 政策。

  • 创建和运行模拟的项目、文件夹或组织。 此资源也称为主机资源。在 Google Cloud 控制台和 gcloud CLI,系统会推断此资源 根据您选择的项目、文件夹或组织确定。在 REST API 中,您可以使用 x-goog-user-project 标头指定此资源。

    此资源可以与目标资源相同,但这不是必需的。

  • 为模拟提供访问日志的资源。在 因此始终会有一个资源为 模拟。此资源因目标资源类型而异:

    • 如果您要模拟项目或组织的允许政策, 模拟器会检索该项目或组织的访问日志。
    • 如果您要模拟不同类型的资源的允许政策, Policy Simulator 检索该资源父级的访问日志 项目或组织。
    • 如果您要同时模拟多个资源的允许政策,Policy Simulator 会检索这些资源最近的常见项目或组织的访问日志。
  • 具有相关允许政策的所有受支持资源。Policy Simulator 运行模拟时,会考虑可能影响用户访问权限的所有允许政策,包括针对目标资源的祖先资源和后代资源的允许政策。因此,模拟中也会涉及这些祖先资源和后代资源。

如果目标资源和主机资源不在同一边界内,则请求会失败。

如果目标资源以及为 Cloud Storage 存储分区提供访问日志的资源, 均不在同一边界内,请求将失败。

如果目标资源以及具有相关允许政策的一些受支持资源 不在同一个边界内,则请求会成功,但结果可能会 尚未完成。例如,如果您要在 Cloud Storage 中 边界,因此结果将不包含项目父级的允许政策 组织,因为组织始终不在 VPC Service Controls 之内 边界。如需获得更完整的结果,您可以配置入站流量和出站流量, 规则

如需详细了解 VPC Service Controls 如何与 Policy Simulator 搭配使用,请参阅 VPC Service Controls 支持的产品中 Policy Simulator 条目 表格

后续步骤