In questa pagina viene descritto come creare un perimetro di servizio.
Prima di iniziare
Scopri di più sulla configurazione dei perimetri di servizio.
Scopri di più sulla gestione delle reti VPC nei perimetri di servizio.
Scopri come concedere l'accesso ai Controlli di servizio VPC.
Se vuoi configurare l'accesso esterno ai servizi protetti quando crei il perimetro, crea uno o più livelli di accesso prima di creare il perimetro.
Crea un perimetro di servizio
Questa sezione descrive come creare un perimetro di servizio, aggiungere progetti o reti VPC al perimetro e proteggere i servizi.
Quando crei un perimetro di servizio, puoi facoltativamente consentire l'accesso ai servizi protetti dall'esterno del perimetro e specificare quali servizi sono accessibili ad altri servizi e utenti all'interno del perimetro. Se preferisci, puoi configurare queste impostazioni dopo aver creato un perimetro.
Dopo aver creato un perimetro di servizio o averne aggiornato uno esistente, la propagazione e l'applicazione delle modifiche può richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Se ti viene richiesto, seleziona l'organizzazione, la cartella o il progetto.
Nella pagina Controlli di servizio VPC, seleziona una modalità perimetro. Per impostazione predefinita, è selezionata la modalità di applicazione forzata. Se vuoi creare un perimetro in modalità di prova, fai clic su Modalità di prova.
I perimetri applicati impediscono attivamente l'accesso ai servizi protetti. I perimetri di prova registrano le violazioni del perimetro come se i servizi fossero protetti, ma non impediscono l'accesso a questi servizi. Per ulteriori informazioni sulle modalità di applicazione e di prova, consulta l'articolo sui perimetri di servizio.
Fai clic su Nuovo perimetro.
Nella pagina Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro.
Il nome del perimetro può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (
_
). Il nome del perimetro è sensibile alle maiuscole e deve essere univoco all'interno di un criterio di accesso.Per aggiungere progetti o reti VPC da proteggere all'interno del perimetro, segui questi passaggi:
Fai clic su Aggiungi risorse.
Per aggiungere progetti al perimetro, nel riquadro Aggiungi risorse, fai clic su Aggiungi progetto.
Per selezionare un progetto, nella finestra di dialogo Aggiungi progetti, seleziona la casella di controllo del progetto.
Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.
Per aggiungere reti VPC al perimetro, nel riquadro Aggiungi risorse, fai clic su Aggiungi rete VPC.
- Nell'elenco dei progetti, fai clic sul progetto che contiene le reti VPC.
- Per aggiungere una rete VPC, nella finestra di dialogo Aggiungi risorse, seleziona la casella di controllo della rete VPC.
- Fai clic su Aggiungi risorse selezionate. La rete aggiunta viene visualizzata nella sezione Reti VPC.
Per selezionare i servizi che vuoi proteggere all'interno del perimetro, segui questi passaggi:
Fai clic su Servizi limitati.
Nel riquadro Servizi limitati, fai clic su Aggiungi servizi.
Per proteggere i servizi all'interno del perimetro, nella finestra di dialogo Specifica i servizi da limitare, seleziona la casella di controllo del servizio.
Fai clic su Aggiungi servizi n, dove n è il numero di servizi che hai selezionato nel passaggio precedente.
(Facoltativo) Se vuoi definire quali servizi sono accessibili all'interno di un perimetro, segui questi passaggi:
Fai clic su Servizi accessibili VPC.
Nel riquadro Servizi accessibili VPC, seleziona Servizi selezionati.
Per includere rapidamente tutti i servizi limitati protetti dal perimetro nell'elenco dei servizi accessibili, seleziona Includi tutti i servizi limitati. Questa opzione ti consente di includere servizi separati oltre a servizi limitati.
Fai clic su Aggiungi servizi accessibili da VPC.
Puoi anche aggiungere servizi accessibili dopo la creazione di un perimetro.
Nella pagina Specifica servizi accessibili, seleziona il servizio che vuoi rendere accessibile all'interno del perimetro.
Fai clic su Aggiungi servizi n, dove n è il numero di servizi che hai selezionato nel passaggio precedente.
(Facoltativo) Per consentire l'accesso alle risorse protette dall'esterno del perimetro utilizzando i livelli di accesso, segui questi passaggi:
Fai clic su Livelli di accesso.
Nel riquadro Criterio di ingresso: livelli di accesso, fai clic sulla casella Scegli livello di accesso.
Puoi anche aggiungere livelli di accesso dopo la creazione di un perimetro.
Seleziona le caselle di controllo corrispondenti ai livelli di accesso da applicare al perimetro.
Per consentire l'accesso alle risorse all'interno di un perimetro dai client API all'esterno del perimetro, segui questi passaggi:
Fai clic su Criterio in entrata.
Nel riquadro Regole in entrata, fai clic su Aggiungi regola.
Specifica le origini dall'esterno del perimetro che richiedono l'accesso in Attributi mittente del client API. Puoi specificare progetti, livelli di accesso e reti VPC come origini.
Specifica le risorse all'interno del perimetro a cui le origini possono accedere in Agli attributi delle risorse/dei servizi Google Cloud.
Per un elenco degli attributi delle regole in entrata, consulta l'articolo Riferimento alle regole in entrata.
Per consentire l'accesso che richiede un client API o risorse all'interno del perimetro alle risorse all'esterno di un perimetro:
Fai clic su Criterio in uscita.
Nel riquadro Regole in uscita, fai clic su Aggiungi regola.
Specifica gli attributi Da: del client API e Agli attributi delle risorse/servizi Google Cloud obbligatori che preferisci.
Per un elenco degli attributi delle regole in uscita, consulta Riferimento alle regole in uscita.
Fai clic su Crea perimetro.
gcloud
Per creare un nuovo perimetro in modalità applicata, utilizza il comando gcloud access-context-manager perimeters create
.
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=RESOURCES \ --restricted-services=RESTRICTED-SERVICES \ --ingress-policies=INGRESS-FILENAME.yaml \ --egress-policies=EGRESS-FILENAME.yaml \ [--access-levels=LEVELS] \ [--enable-vpc-accessible-services] \ [--vpc-allowed-services=ACCESSIBLE-SERVICES] \ --policy=POLICY_NAME
Per creare un nuovo perimetro in modalità di prova, utilizza il comando gcloud access-context-manager perimeters dry-run create
.
gcloud access-context-manager perimeters dry-run create NAME \ --perimeter-title=TITLE \ --perimeter-type=TYPE \ --perimeter-resources=RESOURCES \ --perimeter-restricted-services=RESTRICTED-SERVICES \ --perimeter-ingress-policies=INGRESS-FILENAME.yaml \ --perimeter-egress-policies=EGRESS-FILENAME.yaml \ [--perimeter-access-levels=LEVELS] \ [--perimeter-enable-vpc-accessible-services] \ [--perimeter-vpc-allowed-services=ACCESSIBLE-SERVICES] \ --policy=POLICY_NAME
Sostituisci quanto segue:
NAME è il nome del perimetro.
Il nome del perimetro può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (
_
). Il nome del perimetro è sensibile alle maiuscole e deve essere univoco all'interno di un criterio di accesso.TITLE è il titolo leggibile del perimetro.
TYPE è il tipo di perimetro. ad esempio un perimetro "normale" o un perimetro "ponte".
RESOURCES è un elenco separato da virgole di uno o più numeri di progetto o nomi di reti VPC. Ad esempio:
projects/12345
o//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Sono consentiti solo progetti e reti VPC. Formato del progetto:projects/project_number
. Formato VPC://compute.googleapis.com/projects/project-id/global/networks/network_name
. Se specifichi i progetti, sono supportati solo i numeri di progetto. Non puoi utilizzare il nome o l'ID del progetto.RESTRICTED-SERVICES è un elenco separato da virgole di uno o più servizi. Ad esempio:
storage.googleapis.com
ostorage.googleapis.com,bigquery.googleapis.com
.INGRESS-FILENAME è un file JSON o YAML che contiene i valori degli attributi di origine, identità, progetto e servizio. Per un elenco degli attributi delle regole in entrata, consulta l'articolo Riferimento alle regole in entrata.
EGRESS-FILENAME è un file JSON o YAML che contiene i valori degli attributi di identità, progetto e servizio. Per un elenco degli attributi delle regole in uscita, consulta Riferimento alle regole in uscita.
POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione. Ad esempio,
330193482019
. Devi includere il nome del criterio solo se non hai impostato un criterio di accesso predefinito.
Opzioni aggiuntive:
--access-levels
o--perimeter-access-levels
è necessario solo se vuoi aggiungere livelli di accesso quando crei il perimetro. LEVELS è un elenco separato da virgole di uno o più livelli di accesso che vuoi applicare al perimetro di servizio.Puoi anche aggiungere livelli di accesso dopo aver creato il perimetro.
I criteri
--enable-vpc-accessible-services
e--vpc-allowed-services
oppure--perimeter-enable-vpc-accessible-services
e--perimeter-vpc-allowed-services
sono obbligatori solo se vuoi aggiungere servizi accessibili da VPC quando crei il perimetro. ACCESSIBLE-SERVICES è un elenco separato da virgole di uno o più servizi a cui vuoi consentire l'accesso alle reti all'interno del tuo perimetro. L'accesso a qualsiasi servizio non incluso in questo elenco è vietato.Puoi rendere accessibile un servizio solo se lo proteggi anche durante la configurazione del perimetro.
Per includere rapidamente tutti i servizi protetti da un perimetro, specifica
RESTRICTED-SERVICES
nell'elenco per ACCESSIBLE-SERVICES. Ad esempio,--perimeter-vpc-allowed-services=RESTRICTED-SERVICES
.Puoi anche definire i servizi accessibili da VPC dopo aver creato il perimetro.
Ad esempio, il comando seguente crea un nuovo perimetro in modalità di prova denominato
ProdPerimeter
che include i progetti example-project
e
example-project2
e limita le API Cloud Storage e
BigQuery.
gcloud access-context-manager perimeters \ dry-run create ProdPerimeter --perimeter-title="Production Perimeter" \ --perimeter-type="regular" \ --perimeter-resources=projects/12345,projects/67890 \ --perimeter-restricted-services=storage.googleapis.com,bigquery.googleapis.com \ --perimeter-ingress-policies=ingress.yaml \ --perimeter-egress-policies=egress.yaml \ --policy=330193482019
API
Per creare un perimetro di servizio, chiama
accessPolicies.servicePerimeters.create
.
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters
Dove:
- POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione. Ad esempio,
330193482019
.
Corpo della richiesta
Il corpo della richiesta deve includere una risorsa ServicePerimeter
che definisca il perimetro di servizio.
Per la risorsa ServicePerimeter
, specifica PERIMETER_TYPE_REGULAR
per perimeterType
.
Modalità prova
Il perimetro proposto deve essere incluso nel modo in cui spec
e
useExplicitDryRunSpec
devono essere impostati su true.
Corpo della risposta
In caso di esito positivo, il corpo della risposta della chiamata contiene una risorsa Operation
che fornisce dettagli sull'operazione POST
.
Passaggi successivi
- Scopri come testare l'impatto di un perimetro di servizio utilizzando la modalità di prova.
- Scopri come gestire i perimetri di servizio esistenti.
- Scopri come risolvere i problemi comuni dei Controlli di servizio VPC.