Crea un perímetro de servicio

Console

1. En el menú de navegación de Google Cloud Console, haga clic en Seguridad y, luego, en Controles del servicio de VPC.

   Ir a la página Controles del servicio de VPC

2. Si se le solicita, seleccione su organización.

3. En la parte superior de la página Controles del servicio de VPC, haz clic en Nuevo perímetro.

4. En la página Nuevo perímetro del servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.

5. Selecciona los proyectos que deseas proteger dentro del perímetro:

   1. Haga clic en el botón Agregar proyectos.

   2. En la ventana Agregar proyectos, en cada fila correspondiente a un proyecto que desee agregar al perímetro, seleccione la casilla de verificación.

   3. Haga clic en el botón Agregar n Proyectos, donde n es la cantidad de proyectos que seleccionó en el paso anterior.

      

6. Selecciona los servicios que deseas proteger en el perímetro:

   1. Haz clic en el botón Agregar servicios.

   2. En la ventana Especificar servicios para restringir, en cada fila correspondiente a un servicio que deseas proteger, selecciona la casilla de verificación.

   3. Haga clic en el botón Agregar n Servicios, donde n es la cantidad de servicios que seleccionó en el paso anterior.

      

7. Haz clic en el botón Guardar.

gcloud

Para crear un nuevo perímetro, usa el comando create.

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --policy=POLICY_NAME
    

Aquí:

• NAME es el nombre del perímetro.

• TITLE es el título legible del perímetro.

• PROJECTS es una lista delimitada por comas de uno o más ID de proyecto. Por ejemplo, projects/12345 o projects/12345,projects/67890. Solo se admiten ID numéricos. No puedes usar el nombre del proyecto.

• SERVICES es una lista delimitada por comas de uno o más servicios. Por ejemplo, storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

• POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Por ejemplo, el siguiente comando crea un nuevo perímetro llamado ProdPerimeter que incluye proyectos example-project y example-project2, y restringe las API de Cloud Storage y BigQuery.

    gcloud access-context-manager perimeters \
      create ProdPerimeter --title="Production Perimeter" \
      --resources=projects/12345,projects/67890 \
      --restricted-services=storage.googleapis.com,bigquery.googleapis.com \
      --policy=330193482019
    

API

Para crear un perímetro de servicio, llama a accessPolicies.servicePerimeters.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters
    

Aquí:

• POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Cuerpo de la solicitud

El cuerpo de la solicitud debe incluir un recurso ServicePerimeter que defina el perímetro del servicio.

Para el recurso ServicePerimeter, especifique PERIMETER_TYPE_REGULAR para perimeterType.

Cuerpo de la respuesta

Si se ejecuta correctamente, el cuerpo de la respuesta de la llamada contiene un recurso Operation que proporciona detalles sobre la operación POST.

Console

1. En el menú de navegación de Google Cloud Console, haga clic en Seguridad y, luego, en Controles del servicio de VPC.

   Ir a la página Controles del servicio de VPC

2. Si se le solicita, seleccione su organización.

3. En la parte superior de la página Controles del servicio de VPC, haz clic en Nuevo perímetro.

4. En la página Nuevo perímetro del servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.

5. Selecciona los proyectos que deseas proteger dentro del perímetro:

   1. Haga clic en el botón Agregar proyectos.

   2. En la ventana Agregar proyectos, en cada fila correspondiente a un proyecto que desee agregar al perímetro, seleccione la casilla de verificación.

   3. Haga clic en el botón Agregar n Proyectos, donde n es la cantidad de proyectos que seleccionó en el paso anterior.

      

6. Selecciona los servicios que deseas proteger en el perímetro:

   1. Haz clic en el botón Agregar servicios.

   2. En la ventana Especificar servicios para restringir, en cada fila correspondiente a un servicio que deseas proteger, selecciona la casilla de verificación.

   3. Haga clic en el botón Agregar n Servicios, donde n es la cantidad de servicios que seleccionó en el paso anterior.

      

7. Haga clic en el cuadro Elegir nivel de acceso.

8. Seleccione las casillas de verificación correspondientes a los niveles de acceso que desea aplicar al perímetro de servicio.

9. Haz clic en el botón Guardar.

gcloud

Para aplicar niveles de acceso cuando cree un perímetro de servicio, use el comando create:

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --access-levels=LEVELS
      --policy=POLICY_NAME
    

Aquí:

• NAME es el nombre del perímetro.

• TITLE es el título legible del perímetro.

• PROJECTS es una lista delimitada por comas de uno o más ID de proyecto. Por ejemplo, projects/12345 o projects/12345,projects/67890. Solo se admiten ID numéricos. No puedes usar el nombre del proyecto.

• SERVICES es una lista delimitada por comas de uno o más servicios. Por ejemplo, storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

• LEVELS es una lista delimitada por comas de uno o más niveles de acceso que deseas aplicar al perímetro de servicio.

• POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019