对服务边界进行批量更改

使用 Access Context Manager,可以对属于贵组织的访问政策的资源进行批量更新,例如访问权限级别服务边界。 仅当批量操作的所有部分都成功时,才应用对资源的更改。

本主题仅介绍批量替换服务边界。如需详细了解如何批量替换访问权限级别,请参阅 Access Access Context Manager 文档

准备工作

由于批量操作会影响组织的所有服务边界,因此您可能需要获取完整的边界列表。该列表的格式可以设置为 YAML,这也可以使对边界的批量更改更轻松。

如需获取设置了格式的访问权限级别列表,请参阅列出服务边界(已设置格式)

批量替换服务边界

以下部分详细介绍如何批量替换服务边界。

gcloud

要批量替换所有服务边界,请使用 replace-all 命令。

gcloud beta access-context-manager perimeters replace-all \
  --source-file=FILE \
  --etag=ETAG \
  [--policy=POLICY_NAME]

其中:

  • FILE 是定义现有服务边界的新设置的 .yaml 文件名称。

    例如:

    - name: accessPolicies/11271009391/servicePerimeters/storage_perimeter
      title: Storage Perimeter
      description: Perimeter to protect Storage resources.
      perimeterType: PERIMETER_TYPE_REGULAR
      status:
        restrictedServices:
        - storage.googleapis.com
    - name: accessPolicies/11271009391/servicePerimeters/bigquery_perimeter
      title: BigQuery Perimeter
      description: Perimeter to protect BigQuery resources.
      perimeterType: PERIMETER_TYPE_REGULAR
      status:
        restrictedServices:
        - bigquery.googleapis.com
    

    如需详细了解如何设置 YAML 文件的格式,请参阅 Access Context Manager 的 ServicePerimeterConfig 对象的 JSON 结构。

  • ETAG(可选)是一个字符串,表示您组织的访问权限政策的目标版本。如果不包括 etag,则批量操作将针对贵组织访问政策的最新版本。

    要获取访问权限政策的最新 etag,请 list 您的访问权限政策

  • POLICY_NAME 是您组织的访问权限政策名称。只有在未设置默认访问权限政策的情况下,才需要指定此值。

API

要批量替换所有服务边界,请调用 servicePerimeters.replaceAll

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters.replaceAll?alt=json

其中:

  • POLICY_NAME 是您组织的访问权限政策名称。

请求正文

请求正文必须包含 ServicePerimeterConfig 对象的列表,这些对象指定要进行的更改。

(可选)要针对贵组织访问政策的特定版本,可以包含 etag。如果不包括 etag,则批量操作将针对贵组织访问政策的最新版本。

例如:

{
  "servicePerimeters": [
    object (ServicePerimeterConfig),
    object (ServicePerimeterConfig),
    ...
  ]
  "etag": string
}

响应正文

如果成功,调用的响应正文将包含一个 Operation 资源,用于提供与 post 操作相关的详细信息。

示例响应:

{
  "name": "operations/accessPolicies/11271009391/replacePerimeters/1583523447707087",
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.identity.accesscontextmanager.v1.ReplaceServicePerimetersResponse",
    "servicePerimeters": [
      {
        "name": "accessPolicies/11271009391/servicePerimeters/storage_perimeter",
        "title": "Storage Perimeter",
        "description": "Perimeter to protect Storage resources.",
        "status": {
          "accessLevels": [
            "accessPolicies/11271009391/accessLevels/corpnet_access"
          ],
          "restrictedServices": [
            "bigtable.googleapis.com"
          ]
        }
      },
      {
        "name": "accessPolicies/11271009391/servicePerimeters/storage_perimeter",
        "title": "BigQuery Perimeter",
        "description": "Perimeter to protect BigQuery resources.",
        "status": {
          "accessLevels": [
            "accessPolicies/11271009391/accessLevels/prodnet_access"
          ],
          "restrictedServices": [
            "bigtable.googleapis.com"
          ]
        }
      }
    ]
  }
}