Dienstperimeter erstellen

Auf dieser Seite wird beschrieben, wie Sie einen Dienstperimeter erstellen.

Vorbereitung

Dienstperimeter erstellen

In diesem Abschnitt wird beschrieben, wie Sie einen Dienstperimeter erstellen, Projekte hinzufügen und Dienste schützen.

Wenn Sie einen Dienstperimeter erstellen, können Sie optional den Zugriff auf geschützte Dienste von außerhalb des Perimeters zulassen und angeben, auf welche Dienste von anderen Diensten und Nutzern innerhalb des Perimeters zugegriffen werden kann. Sie können diese Einstellungen auch nach dem Erstellen eines Perimeters konfigurieren.

Nachdem Sie einen Dienstperimeter erstellt haben, kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen wurden und wirksam geworden sind.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Perimeter können nicht auf Projektebene erstellt werden.

  3. Wählen Sie oben auf der Seite VPC Service Controls einen Perimetermodus aus. Standardmäßig ist Erzwungener Modus ausgewählt. Wenn Sie einen Probelaufperimeter erstellen möchten, klicken Sie auf Probelaufmodus.

    Erzwungene Perimeter verhindern aktiv den Zugriff auf geschützte Dienste. Probelaufperimeter speichern Verstöße gegen den Perimeter so in Logs, als seien die Dienste geschützt, verhindern aber nicht den Zugriff auf diese. Weitere Informationen zum erzwungenen Modus und zum Probelaufmodus finden Sie unter Dienstperimeter.

  4. Klicken Sie auf Neuer Perimeter.

  5. Geben Sie auf der Seite Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein.

  6. Wählen Sie die Projekte aus, die Sie im Perimeter sichern möchten:

    1. Klicken Sie unter Zu schützende Projekte auf Projekte hinzufügen.

    2. Wenn Sie dem Perimeter ein Projekt hinzufügen möchten, klicken Sie im Fenster Projekte hinzufügen auf das Kästchen für das gewünschte Projekt.

    3. Klicken Sie auf n Projekte hinzufügen, wobei n die Anzahl der Projekte ist, die Sie im vorherigen Schritt ausgewählt haben.

  7. Wählen Sie die Projekte aus, die Sie im Perimeter sichern möchten:

    1. Klicken Sie unter Zu schützende Dienste auf Dienste hinzufügen.

    2. Wenn Sie Dienste innerhalb des Perimeters sichern möchten, klicken Sie im Fenster Geben Sie Dienste an, die eingeschränkt werden sollen auf das Kästchen für den jeweiligen Dienst.

    3. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der Dienste ist, die Sie im vorherigen Schritt ausgewählt haben.

  8. (Optional) Wenn Sie festlegen möchten, auf welche Dienste innerhalb eines Perimeters zugegriffen werden kann (z. B. über VMs in einem VPC-Netzwerk, das von einem der zuvor ausgewählten Projekte gehostet wird), gehen Sie so vor:

    1. Klicken Sie unter Zugängliche VPC-Dienste auf Add VPC Restricted Services. Sie können Dienste nur zugänglich machen, wenn Sie diese auch mit dem Perimeter schützen.

      Sie können zugängliche Dienste auch hinzufügen, nachdem ein Perimeter erstellt wurde.

    2. Klicken Sie im Fenster Geben Sie Dienste an, die eingeschränkt werden sollen in jeder Zeile der Dienste, die Sie in Ihrem Perimeter zugänglich machen möchten, auf das zugehörige Kästchen.

    3. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der Dienste ist, die Sie im vorherigen Schritt ausgewählt haben.

  9. (Optional) Wenn Sie Anfragen an geschützte Dienste von außerhalb des Perimeters zulassen möchten, gehen Sie so vor:

    1. Klicken Sie auf das Kästchen Zugriffsebene auswählen.

      Sie können Zugriffsebenen auch hinzufügen, nachdem ein Perimeter erstellt wurde.

    2. Klicken Sie auf die Kästchen für die Zugriffsebenen, die Sie auf den Dienstperimeter anwenden möchten.

  10. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl create, um einen neuen Perimeter zu erstellen.

gcloud [beta] access-context-manager perimeters [dry-run] create NAME \
  --title=TITLE \
  --resources=PROJECTS \
  --restricted-services=RESTRICTED-SERVICES \
  [--levels=LEVELS] \
  [--enable-vpc-accessible-services] \
  [--add-vpc-allowed-services=ACCESSIBLE-SERVICES] \
  --policy=POLICY_NAME

Hierbei gilt:

  • beta und dry-run sind nur erforderlich, wenn Sie den Perimeter im Probelaufmodus erstellen möchten. Beispiel: gcloud beta access-context-manager perimeters dry-run create ....

  • NAME ist der Name des Perimeters.

  • TITLE ist der für Menschen lesbare Titel des Perimeters.

  • PROJECTS ist eine durch Kommas getrennte Liste mit einer oder mehreren Projektnummern. Beispiel: projects/12345 oder projects/12345,projects/67890. Es werden nur Projektnummern unterstützt. Der Projektname und die Projekt-ID kann nicht verwendet werden.

  • RESTRICTED-SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel: storage.googleapis.com oder storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019. Sie müssen den Richtliniennamen nur angeben, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Zusätzliche Optionen:

  • --levels ist nur erforderlich, wenn Sie beim Erstellen des Perimeters Zugriffsebenen hinzufügen möchten. LEVELS ist eine durch Kommas getrennte Liste mit einer oder mehreren Zugriffsebenen, die Sie auf den Dienstperimeter anwenden möchten.

    Sie können auch Zugriffsebenen hinzufügen, nachdem Sie den Perimeter erstellt haben.

  • --enable-vpc-accessible-services und --add-vpc-allowed-services sind nur erforderlich, wenn Sie beim Erstellen des Perimeters zugängliche VPC-Dienste hinzufügen möchten. ACCESSIBLE-SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten, für die Sie den Zugriff durch Netzwerke innerhalb des Perimeters zulassen möchten. Der Zugriff auf alle Dienste, die nicht in dieser Liste enthalten sind, wird verhindert.

    Sie können einen Dienst nur dann zugänglich machen, wenn Sie ihn auch beim Konfigurieren des Perimeters schützen.

    Geben Sie RESTRICTED-SERVICES in der Liste für ACCESSIBLE-SERVICES an, um alle durch einen Perimeter geschützten Dienste schnell hinzuzufügen. Beispiel: --add-vpc-allowed-services=RESTRICTED-SERVICES.

    Sie können auch zugängliche VPC-Dienste definieren, nachdem Sie den Perimeter erstellt haben.

Mit dem folgenden Befehl wird beispielsweise ein neuer Perimeter namens ProdPerimeter erstellt, der die Projekte example-project und example-project2 enthält, sowie die Cloud Storage API und die BigQuery API einschränkt.

gcloud access-context-manager perimeters \
  create ProdPerimeter --title="Production Perimeter" \
  --resources=projects/12345,projects/67890 \
  --restricted-services=storage.googleapis.com,bigquery.googleapis.com \
  --policy=330193482019

API

Rufen Sie accessPolicies.servicePerimeters.create auf, um einen Dienstperimeter zu erstellen.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters

Hierbei gilt:

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019.

Anfragetext

Der Anfragetext muss eine ServicePerimeter-Ressource enthalten, die den Dienstperimeter definiert.

Geben Sie für die Ressource ServicePerimeter für perimeterType den Wert PERIMETER_TYPE_REGULAR an.

Probelaufmodus

Der vorgeschlagene Perimeter muss als spec hinzugefügt werden und useExplicitDryRunSpec muss auf "true" gesetzt sein.

Antworttext

Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang POST.

Weitere Informationen