透過 VPC Service Controls,您可以建立範圍,也就是 Google Cloud 資源周圍的邊界。接著,您可以定義安全政策,防止從範圍外存取支援的服務。如要進一步瞭解 VPC Service Controls,請參閱 VPC Service Controls 總覽。
您可以使用 VPC Service Controls,協助保護下列 Policy Intelligence API:
- Policy Troubleshooter API
- 政策模擬器 API
協助保護 Policy Troubleshooter API 安全
您可以使用 VPC Service Controls,協助確保政策疑難排解程序安全無虞。
使用安全防護範圍限制 Policy Troubleshooter API 時,只有當要求中涉及的所有資源都位於同一個安全防護範圍內,主體才能排解 IAM 政策問題。排解問題要求通常會涉及兩項資源:
要排解存取問題的資源。這項資源可以是任何類型。排解 IAM 政策問題時,您會明確指定這項資源。
您用來排解存取問題的資源。這項資源必須是專案、資料夾或機構。在 Google Cloud 控制台和 gcloud CLI 中,系統會根據您選取的專案、資料夾或機構推斷這項資源。在 REST API 中,您可以使用
x-goog-user-project標頭指定這項資源。這項資源可以與您要排解存取權問題的資源相同,但不必如此。
如果這些資源不在同一個範圍內,要求就會失敗。
如要進一步瞭解 VPC Service Controls 如何與 Policy Troubleshooter 搭配運作,請參閱 VPC Service Controls 支援的產品表格中的 Policy Troubleshooter 項目。
確保 Policy Simulator API 安全無虞
使用安全防護範圍限制 Policy Simulator API 時,只有當模擬作業涉及的特定資源位於同一安全防護範圍內,主體才能模擬允許政策。模擬作業會用到多項資源:
要模擬允許政策的資源。這項資源也稱為「目標資源」。在 Google Cloud 控制台中,這是您要編輯允許政策的資源。在 gcloud CLI 和 REST API 中,模擬允許政策時,您需要明確指定這項資源。
建立及執行模擬作業的專案、資料夾或機構。 這個資源也稱為「主機資源」。在Google Cloud 控制台和 gcloud CLI 中,系統會根據您選取的專案、資料夾或機構推斷這項資源。在 REST API 中,您可以使用
x-goog-user-project標頭指定這項資源。這項資源可以與目標資源相同,但不一定要相同。
提供模擬作業存取記錄的資源。在模擬中,一律會有一個資源提供模擬的存取記錄。這項資源會因目標資源類型而異:
- 如果您要模擬專案或機構的允許政策,政策模擬器會擷取該專案或機構的存取記錄。
- 如果您要模擬其他資源類型的允許政策,Policy Simulator 會擷取該資源父項專案或機構的存取記錄。
- 如果您要一次模擬多項資源的允許政策,政策模擬工具會擷取資源最接近的共同專案或機構的存取記錄。
所有支援的資源,以及相關的允許政策。Policy Simulator 執行模擬時,會考量所有可能影響使用者存取權的允許政策,包括目標資源的祖先和子代資源的允許政策。因此,這些祖先和後代資源也會參與模擬。
如果目標資源和主機資源不在同一個範圍內,要求就會失敗。
如果目標資源和提供模擬存取記錄的資源不在同一個範圍內,要求就會失敗。
如果目標資源和一些具有相關允許政策的支援資源不在同一週邊範圍內,要求會成功,但結果可能不完整。舉例來說,如果您要模擬範圍內專案的政策,結果不會包含專案父項機構的允許政策,因為機構一律位於 VPC Service Controls 範圍外。如要取得更完整的結果,您可以為周邊設定進入和離開規則。
如要進一步瞭解 VPC Service Controls 如何與 Policy Simulator 搭配運作,請參閱 VPC Service Controls 支援的產品表格中的 Policy Simulator 項目。
後續步驟
- 瞭解如何建立服務範圍。