Halaman ini menjelaskan cara mengelola konfigurasi uji coba untuk perimeter layanan Anda. Untuk informasi tentang cara mengelola perimeter layanan secara umum, lihat Mengelola perimeter layanan.
Sebelum memulai
Baca Mode uji coba
Tetapkan kebijakan akses default untuk menggunakan alat command line
gcloud
.-atau-
Dapatkan nama kebijakan Anda. Nama kebijakan diperlukan untuk perintah yang menggunakan alat command line
gcloud
dan melakukan panggilan API. Jika menetapkan kebijakan akses default, Anda tidak perlu menentukan kebijakan untuk alat command linegcloud
.
Menerapkan konfigurasi uji coba
Jika sudah puas dengan konfigurasi uji coba untuk perimeter layanan, Anda dapat menerapkan konfigurasi tersebut. Saat diberlakukan, konfigurasi uji coba akan menggantikan konfigurasi yang saat ini diterapkan untuk perimeter, jika ada. Jika versi perimeter yang diterapkan tidak ada, konfigurasi uji coba akan digunakan sebagai konfigurasi awal yang diterapkan untuk perimeter.
Setelah Anda memperbarui perimeter layanan, mungkin perlu waktu hingga 30 menit agar
perubahan diterapkan dan berlaku. Selama waktu ini, perimeter mungkin memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.
Di bagian atas halaman Kontrol Layanan VPC, klik Mode Uji Coba.
Dalam daftar perimeter layanan, klik nama perimeter layanan yang ingin Anda terapkan.
Di halaman Detail Perimeter Layanan VPC, di bagian Konfigurasi uji coba, klik Terapkan.
Saat diminta untuk mengonfirmasi bahwa Anda ingin menimpa konfigurasi yang diterapkan dan sudah ada, klik Terapkan.
gcloud
Anda dapat menggunakan alat command line gcloud
untuk menerapkan konfigurasi dry run untuk setiap perimeter, serta untuk semua perimeter secara bersamaan.
Menerapkan satu konfigurasi uji coba
Untuk menerapkan konfigurasi uji coba untuk perimeter tunggal, gunakan
perintah dry-run enforce
:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang detailnya ingin Anda dapatkan.
POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Menerapkan semua konfigurasi uji coba
Untuk menerapkan konfigurasi uji coba untuk semua perimeter, gunakan
perintah dry-run enforce-all
:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang detailnya ingin Anda dapatkan.
ETAG adalah string yang mewakili versi target kebijakan akses organisasi Anda. Jika Anda tidak menyertakan tag, operasi
enforce-all
akan menargetkan versi terbaru kebijakan akses organisasi Anda.Untuk mendapatkan etag terbaru kebijakan akses Anda,
list
kebijakan akses Anda.POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
API
Untuk menerapkan konfigurasi uji coba untuk semua
perimeter Anda, panggil accessPolicies.servicePerimeters.commit
.
Memperbarui konfigurasi uji coba
Saat memperbarui konfigurasi uji coba, Anda dapat mengubah daftar layanan, project, dan layanan yang dapat diakses VPC, di antara fitur perimeter lainnya.
Setelah Anda memperbarui perimeter layanan, mungkin perlu waktu hingga 30 menit agar
perubahan diterapkan dan berlaku. Selama waktu ini, perimeter mungkin memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.
Di bagian atas halaman Kontrol Layanan VPC, klik Mode Uji Coba.
Dalam daftar perimeter layanan, klik nama perimeter layanan yang ingin Anda edit.
Di halaman Detail Perimeter Layanan VPC, di bagian Konfigurasi uji coba, klik Edit.
Di halaman Edit VPC Service Perimeter, buat perubahan pada konfigurasi uji coba untuk perimeter layanan.
Klik Simpan.
gcloud
Untuk menambahkan project baru ke perimeter, gunakan perintah dry-run update
dan
tentukan resource yang akan ditambahkan:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang detailnya ingin Anda dapatkan.
RESOURCES adalah daftar yang dipisahkan koma dari satu atau beberapa nomor project atau nama jaringan VPC. Misalnya:
projects/12345
atau//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Hanya project dan jaringan VPC yang diizinkan. Format project:projects/<project_number>
. Format VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>
.POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah dry-run update
dan tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang detailnya ingin Anda dapatkan.
SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan. Misalnya:
storage.googleapis.com
ataustorage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Mengidentifikasi permintaan yang diblokir
Setelah membuat konfigurasi uji coba, Anda dapat meninjau log untuk mengidentifikasi tempat konfigurasi uji coba akan menolak akses ke layanan jika diterapkan.
Konsol
Di menu navigasi konsol Google Cloud, klik Logging, lalu klik Logs Explorer.
Di kolom Query, masukkan filter kueri seperti filter berikut, lalu klik Run query.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
Lihat log di bagian Query results.
gcloud
Untuk melihat log menggunakan gcloud CLI, jalankan perintah seperti berikut:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'