Créer un périmètre de service

Cette page explique comment créer un périmètre de service.

Avant de commencer

Créer un périmètre de service

Cette section décrit comment créer un périmètre de service n'autorisant pas l'accès externe aux services protégés par le périmètre. Si vous souhaitez créer un périmètre de service autorisant un accès externe limité, reportez-vous à la section Activer l'accès contrôlé lors de la création d'un périmètre.

Une fois le périmètre de service créé, la prise en compte et la propagation des modifications peuvent prendre jusqu'à 30 minutes.

Console

  1. Dans le menu de navigation de Google Cloud Console, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. En haut de la page VPC Service Controls, cliquez sur Nouveau périmètre.

  4. Sur la page New VPC Service Perimeter (Nouveau périmètre de service VPC), saisissez un nom dans le champ Perimeter Name (Nom du périmètre).

  5. Sélectionnez les projets que vous souhaitez sécuriser au sein du périmètre :

    1. Cliquez sur le bouton Add Projects (Ajouter des projets).

    2. Dans la fenêtre Add Projects (Ajouter des projets), cochez la case située à côté de chaque ligne correspondant à un projet que vous souhaitez ajouter au périmètre.

    3. Cliquez sur le bouton Add n Projects (Ajouter n projets), où n correspond au nombre de projets que vous avez sélectionnés à l'étape précédente.

  6. Sélectionnez les services que vous souhaitez sécuriser au sein du périmètre :

    1. Cliquez sur le bouton Ajouter des services.

    2. Dans la fenêtre Specify services to restrict (Spécifier les services à limiter), cochez la case située à côté de chaque ligne correspondant à un service que vous souhaitez protéger.

    3. Cliquez sur le bouton Ajouter n services, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.

  7. Cliquez sur le bouton Enregistrer.

gcloud

Pour créer un périmètre, utilisez la commande create.

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --policy=POLICY_NAME
    

Où :

  • NAME est le nom du périmètre.

  • TITLE est le titre lisible du périmètre.

  • PROJECTS est une liste d'ID de projets séparés par une virgule. Par exemple, projects/12345 ou projects/12345,projects/67890. Seuls des ID numériques sont acceptés. Vous ne pouvez pas utiliser le nom du projet.

  • SERVICES est une liste de services séparés par une virgule. Par exemple, storage.googleapis.com ou storage.googleapis.com,bigquery.googleapis.com.

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

Par exemple, la commande ci-dessous crée un nouveau périmètre nommé ProdPerimeter qui inclut les projets example-project et example-project2, et limite les API Cloud Storage et BigQuery.

    gcloud access-context-manager perimeters \
      create ProdPerimeter --title="Production Perimeter" \
      --resources=projects/12345,projects/67890 \
      --restricted-services=storage.googleapis.com,bigquery.googleapis.com \
      --policy=330193482019
    

API

Pour créer un périmètre de service, appelez la méthode accessPolicies.servicePerimeters.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters
    

Où :

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

Corps de la requête

Le corps de la requête doit inclure une ressource ServicePerimeter qui définit le périmètre du service.

Pour la ressource ServicePerimeter, spécifiez PERIMETER_TYPE_REGULAR pour perimeterType.

Corps de la réponse

Si la requête aboutit, le corps de la réponse à l'appel contient une ressource Operation qui fournit des détails sur l'opération POST.

Activer l'accès contrôlé lors de la création d'un périmètre

Vous pouvez également appliquer un ou plusieurs niveaux d'accès lors de la création d'un nouveau périmètre. Si vous le souhaitez, des niveaux d'accès peuvent également être ajoutés après la création d'un périmètre de service.

Une fois le périmètre de service créé, la prise en compte et la propagation des modifications peuvent prendre jusqu'à 30 minutes.

Avant de commencer

Identifiez ou créez les niveaux d'accès que vous souhaitez appliquer à vos périmètres de service.

Console

  1. Dans le menu de navigation de Google Cloud Console, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. En haut de la page VPC Service Controls, cliquez sur Nouveau périmètre.

  4. Sur la page New VPC Service Perimeter (Nouveau périmètre de service VPC), saisissez un nom dans le champ Perimeter Name (Nom du périmètre).

  5. Sélectionnez les projets que vous souhaitez sécuriser au sein du périmètre :

    1. Cliquez sur le bouton Add Projects (Ajouter des projets).

    2. Dans la fenêtre Add Projects (Ajouter des projets), cochez la case située à côté de chaque ligne correspondant à un projet que vous souhaitez ajouter au périmètre.

    3. Cliquez sur le bouton Add n Projects (Ajouter n projets), où n correspond au nombre de projets que vous avez sélectionnés à l'étape précédente.

      UI d'ajout de projets

  6. Sélectionnez les services que vous souhaitez sécuriser au sein du périmètre :

    1. Cliquez sur le bouton Ajouter des services.

    2. Dans la fenêtre Specify services to restrict (Spécifier les services à limiter), cochez la case située à côté de chaque ligne correspondant à un service que vous souhaitez protéger.

    3. Cliquez sur le bouton Ajouter n services, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.

      UI de restriction de services

  7. Cliquez sur le champ Choisir un niveau d'accès.

  8. Cochez les cases correspondant aux niveaux d'accès que vous souhaitez appliquer au périmètre de service.

  9. Cliquez sur le bouton Enregistrer.

gcloud

Pour appliquer des niveaux d'accès lorsque vous créez un périmètre de service, utilisez la commande create :

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --access-levels=LEVELS
      --policy=POLICY_NAME
    

Où :

  • NAME est le nom du périmètre.

  • TITLE est le titre lisible du périmètre.

  • PROJECTS est une liste d'ID de projets séparés par une virgule. Par exemple, projects/12345 ou projects/12345,projects/67890. Seuls des ID numériques sont acceptés. Vous ne pouvez pas utiliser le nom du projet.

  • SERVICES est une liste de services séparés par une virgule. Par exemple, storage.googleapis.com ou storage.googleapis.com,bigquery.googleapis.com.

  • LEVELS est une liste des niveaux d'accès, délimités par une virgule, que vous souhaitez appliquer au périmètre du service.

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

Étape suivante