Dienstperimeter erstellen

Auf dieser Seite wird beschrieben, wie Sie einen Dienstperimeter erstellen.

Hinweise

Dienstperimeter erstellen

In diesem Abschnitt wird beschrieben, wie Sie einen Dienstperimeter erstellen, der nicht externen Zugriff auf Dienste erlaubt, die durch den Perimeter geschützt sind. Wenn Sie einen Dienstperimeter erstellen möchten, der einen eingeschränkten externen Zugriff zulässt, finden Sie weitere Informationen unter Aktivieren des kontrollierten Zugriffs beim Erstellen eines Perimeters.

Nachdem Sie einen Dienstperimeter erstellt haben, kann es bis zu 30 Minuten dauern, bis die Änderungen wirksam werden.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie oben auf der Seite VPC Service Controls auf Neuer Perimeter.

  4. Geben Sie auf der Seite Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein.

  5. Wählen Sie die Projekte aus, die Sie im Perimeter sichern möchten:

    1. Klicken Sie auf die Schaltfläche Projekte hinzufügen.

    2. Klicken Sie im Fenster Projekte hinzufügen auf das Kästchen für jedes Projekt, das Sie dem Perimeter hinzufügen möchten.

    3. Klicken Sie auf die Schaltfläche n Projekte hinzufügen. Dabei steht n für die Anzahl der Projekte, die Sie im vorherigen Schritt ausgewählt haben.

  6. Wählen Sie die Projekte aus, die Sie im Perimeter sichern möchten:

    1. Klicken Sie auf die Schaltfläche Dienste hinzufügen.

    2. Klicken Sie im Fenster Geben Sie Dienste an, die eingeschränkt werden sollen auf das Kästchen für jeden Dienst, der geschützt werden soll.

    3. Klicken Sie auf die Schaltfläche n Dienste hinzufügen. Dabei steht n für die Anzahl der Dienste, die Sie im vorherigen Schritt ausgewählt haben.

  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Erstellen eines neuen Perimeters den Befehl create.

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --policy=POLICY_NAME
    

Wobei:

  • NAME ist der Name des Perimeters.

  • TITLE ist der menschenlesbare Titel des Perimeters.

  • PROJECTS ist eine durch Kommas getrennte Liste mit einer oder mehreren Projekt-IDs. Beispiel: projects/12345 oder projects/12345,projects/67890. Es werden nur numerische IDs unterstützt. Sie können nicht den Projektnamen verwenden.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel: storage.googleapis.com oder storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Mit dem folgenden Befehl wird beispielsweise ein neuer Perimeter namens ProdPerimeter erstellt, einschließlich der Projekte example-project und example-project2, sowie die Cloud Storage- und BigQuery-APIs eingeschränkt.

    gcloud access-context-manager perimeters \
      create ProdPerimeter --title="Production Perimeter" \
      --resources=projects/12345,projects/67890 \
      --restricted-services=storage.googleapis.com,bigquery.googleapis.com \
      --policy=330193482019
    

API

Rufen Sie zum Erstellen eines Dienst-Perimeters accessPolicies.servicePerimeters.create auf.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters
    

Wobei:

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Anfragetext

Der Anfragetext muss eine Ressource ServicePerimeter enthalten, die den Dienstperimeter definiert.

Geben Sie PERIMETER_TYPE_REGULAR für perimeterType für die Ressource ServicePerimeter an.

Antworttext

Bei erfolgreicher Ausführung enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang POST.

Kontrollierten Zugriff beim Erstellen eines Perimeters aktivieren

Sie können beim Erstellen eines neuen Perimeters auch eine oder mehrere Zugriffsebenen anwenden. Bei Bedarf können Zugriffsebenen auch hinzugefügt werden, nachdem ein Dienstperimeter erstellt wurde.

Nachdem Sie einen Dienstperimeter erstellt haben, kann es bis zu 30 Minuten dauern, bis die Änderungen wirksam werden.

Hinweise

Identifizieren oder erstellen Sie Zugriffsebenen, die Sie auf Ihre Dienstperimeter anwenden möchten.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie oben auf der Seite VPC Service Controls auf Neuer Perimeter.

  4. Geben Sie auf der Seite Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein.

  5. Wählen Sie die Projekte aus, die Sie im Perimeter sichern möchten:

    1. Klicken Sie auf die Schaltfläche Projekte hinzufügen.

    2. Klicken Sie im Fenster Projekte hinzufügen auf das Kästchen für jedes Projekt, das Sie dem Perimeter hinzufügen möchten.

    3. Klicken Sie auf die Schaltfläche n Projekte hinzufügen. Dabei steht n für die Anzahl der Projekte, die Sie im vorherigen Schritt ausgewählt haben.

      UI

  6. Wählen Sie die Projekte aus, die Sie im Perimeter sichern möchten:

    1. Klicken Sie auf die Schaltfläche Dienste hinzufügen.

    2. Klicken Sie im Fenster Geben Sie Dienste an, die eingeschränkt werden sollen auf das Kästchen für jeden Dienst, der geschützt werden soll.

    3. Klicken Sie auf die Schaltfläche n Dienste hinzufügen. Dabei steht n für die Anzahl der Dienste, die Sie im vorherigen Schritt ausgewählt haben.

      UI

  7. Klicken Sie auf Zugriffsebene auswählen.

  8. Klicken Sie auf die Kästchen für die Zugriffsebenen, die Sie auf den Dienstperimeter anwenden möchten.

  9. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl create, um beim Erstellen eines Dienstperimeters Zugriffsebenen anzuwenden:

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --access-levels=LEVELS
      --policy=POLICY_NAME
    

Wobei:

  • NAME ist der Name des Perimeters.

  • TITLE ist der menschenlesbare Titel des Perimeters.

  • PROJECTS ist eine durch Kommas getrennte Liste mit einer oder mehreren Projekt-IDs. Beispiel: projects/12345 oder projects/12345,projects/67890. Es werden nur numerische IDs unterstützt. Sie können nicht den Projektnamen verwenden.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel: storage.googleapis.com oder storage.googleapis.com,bigquery.googleapis.com.

  • LEVELS ist eine durch Kommas getrennte Liste mit einer oder mehreren Zugriffsebenen, die Sie auf den Dienstperimeter anwenden möchten.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Nächste Schritte