Crea un perímetro de servicio

En esta página, se describe cómo crear un perímetro de servicio.

Antes de comenzar

Crea un perímetro de servicio

En esta sección, se describe cómo crear un perímetro de servicio que no permita el acceso externo a servicios protegidos por el perímetro. Si deseas crear un perímetro de servicio que permita un acceso externo limitado, consulta Cómo habilitar el acceso controlado al crear un perímetro.

Después de crear un perímetro de servicio, es posible que los cambios demoren hasta 30 minutos en propagarse y surtir efecto.

Console

  1. En el menú de navegación de Google Cloud Console, haga clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. Si se le solicita, seleccione su organización.

  3. En la parte superior de la página Controles del servicio de VPC, haz clic en Nuevo perímetro.

  4. En la página Nuevo perímetro del servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.

  5. Selecciona los proyectos que deseas proteger dentro del perímetro:

    1. Haga clic en el botón Agregar proyectos.

    2. En la ventana Agregar proyectos, en cada fila correspondiente a un proyecto que desee agregar al perímetro, seleccione la casilla de verificación.

    3. Haga clic en el botón Agregar n Proyectos, donde n es la cantidad de proyectos que seleccionó en el paso anterior.

  6. Selecciona los servicios que deseas proteger en el perímetro:

    1. Haz clic en el botón Agregar servicios.

    2. En la ventana Especificar servicios para restringir, en cada fila correspondiente a un servicio que deseas proteger, selecciona la casilla de verificación.

    3. Haga clic en el botón Agregar n Servicios, donde n es la cantidad de servicios que seleccionó en el paso anterior.

  7. Haz clic en el botón Guardar.

gcloud

Para crear un nuevo perímetro, usa el comando create.

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --policy=POLICY_NAME
    

Aquí:

  • NAME es el nombre del perímetro.

  • TITLE es el título legible del perímetro.

  • PROJECTS es una lista delimitada por comas de uno o más ID de proyecto. Por ejemplo, projects/12345 o projects/12345,projects/67890. Solo se admiten ID numéricos. No puedes usar el nombre del proyecto.

  • SERVICES es una lista delimitada por comas de uno o más servicios. Por ejemplo, storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Por ejemplo, el siguiente comando crea un nuevo perímetro llamado ProdPerimeter que incluye proyectos example-project y example-project2, y restringe las API de Cloud Storage y BigQuery.

    gcloud access-context-manager perimeters \
      create ProdPerimeter --title="Production Perimeter" \
      --resources=projects/12345,projects/67890 \
      --restricted-services=storage.googleapis.com,bigquery.googleapis.com \
      --policy=330193482019
    

API

Para crear un perímetro de servicio, llama a accessPolicies.servicePerimeters.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters
    

Aquí:

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Cuerpo de la solicitud

El cuerpo de la solicitud debe incluir un recurso ServicePerimeter que defina el perímetro del servicio.

Para el recurso ServicePerimeter, especifique PERIMETER_TYPE_REGULAR para perimeterType.

Cuerpo de la respuesta

Si se ejecuta correctamente, el cuerpo de la respuesta de la llamada contiene un recurso Operation que proporciona detalles sobre la operación POST.

Habilitar el acceso controlado al crear un perímetro

También puede aplicar uno o más niveles de acceso cuando cree un perímetro nuevo. Si lo prefiere, también se pueden agregar niveles de acceso después de crear un perímetro de servicio.

Después de crear un perímetro de servicio, es posible que los cambios demoren hasta 30 minutos en propagarse y surtir efecto.

Antes de comenzar

Identifique o cree niveles de acceso que desee aplicar a sus perímetros de servicio.

Console

  1. En el menú de navegación de Google Cloud Console, haga clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. Si se le solicita, seleccione su organización.

  3. En la parte superior de la página Controles del servicio de VPC, haz clic en Nuevo perímetro.

  4. En la página Nuevo perímetro del servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.

  5. Selecciona los proyectos que deseas proteger dentro del perímetro:

    1. Haga clic en el botón Agregar proyectos.

    2. En la ventana Agregar proyectos, en cada fila correspondiente a un proyecto que desee agregar al perímetro, seleccione la casilla de verificación.

    3. Haga clic en el botón Agregar n Proyectos, donde n es la cantidad de proyectos que seleccionó en el paso anterior.

      Agregar IU de proyectos

  6. Selecciona los servicios que deseas proteger en el perímetro:

    1. Haz clic en el botón Agregar servicios.

    2. En la ventana Especificar servicios para restringir, en cada fila correspondiente a un servicio que deseas proteger, selecciona la casilla de verificación.

    3. Haga clic en el botón Agregar n Servicios, donde n es la cantidad de servicios que seleccionó en el paso anterior.

      Restringir la IU de servicios

  7. Haga clic en el cuadro Elegir nivel de acceso.

  8. Seleccione las casillas de verificación correspondientes a los niveles de acceso que desea aplicar al perímetro de servicio.

  9. Haz clic en el botón Guardar.

gcloud

Para aplicar niveles de acceso cuando cree un perímetro de servicio, use el comando create:

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --access-levels=LEVELS
      --policy=POLICY_NAME
    

Aquí:

  • NAME es el nombre del perímetro.

  • TITLE es el título legible del perímetro.

  • PROJECTS es una lista delimitada por comas de uno o más ID de proyecto. Por ejemplo, projects/12345 o projects/12345,projects/67890. Solo se admiten ID numéricos. No puedes usar el nombre del proyecto.

  • SERVICES es una lista delimitada por comas de uno o más servicios. Por ejemplo, storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

  • LEVELS es una lista delimitada por comas de uno o más niveles de acceso que deseas aplicar al perímetro de servicio.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Qué sigue