借助 VPC Service Controls,您可以为您的 Google Cloud 资源创建边界。然后,您可以定义安全政策,以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
您可以使用 VPC Service Controls 帮助保护以下 Policy Intelligence API:
- Policy Troubleshooter API
- Policy Simulator API
帮助保护 Policy Troubleshooter API
您可以使用 VPC Service Controls 帮助确保政策问题排查。
当您通过边界限制 Policy Troubleshooter API 时,仅当请求涉及的所有资源位于同一边界内时,主帐号才能排查 IAM 政策的问题。问题排查请求通常涉及两项资源:
您要排查其访问权限问题的资源。此资源可以是任何类型。在对 IAM 政策进行问题排查时,您可以明确指定此资源。
您用于排查访问权限问题的资源。此资源必须是项目、文件夹或组织。在 Google Cloud 控制台和 gcloud CLI 中,系统会根据您选择的项目、文件夹或组织推断此资源。在 REST API 中,您可以使用
x-goog-user-project标头指定此资源。此资源可以与要排查访问权限的资源相同,但并非必需。
如果这些资源不在同一边界内,则请求将失败。
如需详细了解 VPC Service Controls 如何与 Policy Troubleshooter 结合使用,请参阅 VPC Service Controls 支持的产品表中的政策问题排查工具条目。
帮助保护 Policy Simulator API
当您通过边界限制 Policy Simulator API 时,仅当模拟中涉及的某些资源位于同一边界内时,主帐号才能模拟允许政策。模拟涉及一些资源:
您模拟的允许政策的资源。该资源也称为目标资源。在 Google Cloud 控制台中,这是您正在修改其允许政策的资源。在 gcloud CLI 和 REST API 中,您可以在模拟允许政策时明确指定此资源。
创建并运行模拟的项目、文件夹或组织。该资源也称为主机资源。在 Google Cloud 控制台和 gcloud CLI 中,系统会根据您选择的项目、文件夹或组织推断此资源。在 REST API 中,您可以使用
x-goog-user-project标头指定此资源。此资源可以与目标资源相同,但不一定要如此。
为模拟提供访问日志的资源。在模拟中,始终有一个资源提供模拟的访问日志。此资源因目标资源类型而异:
- 如果您要模拟项目或组织的允许政策,Policy Simulator 会检索该项目或组织的访问权限日志。
- 如果您要模拟不同类型的资源的允许政策,Policy Simulator 会检索该资源的父项目或组织的访问日志。
- 如果要同时模拟多个资源的允许政策,Policy Simulator 会检索资源最近的公共项目或组织的访问权限日志。
所有支持的资源和相关的允许政策。Policy 模拟器在运行模拟时,会考虑可能影响用户访问权限的所有允许政策,包括关于目标资源的祖先和后代资源的允许政策。因此,这些祖先资源和后代资源也参与了模拟。
如果目标资源和主机资源不在同一边界内,则请求失败。
如果目标资源和为模拟提供访问日志的资源不在同一边界内,则请求失败。
如果目标资源和一些具有相关允许政策的受支持资源不在同一边界内,则请求成功,但结果可能不完整。例如,如果您要模拟边界中项目的政策,结果将不包含项目的父级组织的允许政策,因为组织始终位于 VPC Service Controls 边界之外。如需获得更完整的结果,您可以为边界配置入站流量和出站流量规则。
如需详细了解 VPC Service Controls 如何与 Policy Simulator 搭配使用,请参阅 VPC Service Controls 支持的产品表中的 Policy Simulator 条目。
后续步骤
- 了解如何创建服务边界。