Questa pagina descrive come gestire la configurazione del dry run per i perimetri di servizio. Per informazioni sulla gestione dei perimetri di servizio in generale, consulta Gestire i perimetri di servizio.
Prima di iniziare
Leggi Modalità di prova
Imposta il criterio di accesso predefinito per l'utilizzo dello strumento a riga di comando
gcloud
.-o-
Ricevi il nome del criterio. Il nome del criterio è obbligatorio per i comandi che utilizzano lo strumento a riga di comando
gcloud
ed eseguono chiamate API. Se imposti un criterio di accesso predefinito, non devi specificarlo per lo strumento a riga di comandogcloud
.
Applicazione forzata di una configurazione di prova
Quando ritieni che la configurazione di prova per un perimetro di servizio sia soddisfacente, puoi applicarla. Quando viene applicata una configurazione di prova, viene sostituita l'attuale configurazione applicata per un perimetro, se esistente. Se non esiste una versione applicata del perimetro, la configurazione di prova viene utilizzata come configurazione applicata iniziale per il perimetro.
Dopo aver aggiornato un perimetro di servizio, potrebbero essere necessari fino a 30 minuti prima che le modifiche vengano propagate e applicate. Durante questo periodo, il perimetro potrebbe bloccare
le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova secca.
Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio da applicare.
Nella pagina Dettagli perimetro di servizio VPC, nella sezione Configurazione prova, fai clic su Applica.
Quando ti viene chiesto di confermare che vuoi sovrascrivere la configurazione impostata obbligatoriamente esistente, fai clic su Applica.
gcloud
Puoi utilizzare lo strumento a riga di comando gcloud
per applicare la configurazione di prova per un singolo perimetro, nonché per tutti i perimetri contemporaneamente.
Applicare una configurazione di prova
Per applicare la configurazione della prova secca per un singolo perimetro, utilizza il comando
dry-run enforce
:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio di cui vuoi ottenere i dettagli.
POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Applicare tutte le configurazioni di prova
Per applicare la configurazione della prova secca per tutti i tuoi perimetri, utilizza il comando dry-run enforce-all
:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio di cui vuoi ottenere i dettagli.
ETAG è una stringa che rappresenta la versione di destinazione del criterio di accesso della tua organizzazione. Se non includi un tag, l'operazione
enforce-all
ha come target la versione più recente del regolamento sull'accesso della tua organizzazione.Per ottenere l'etag più recente del criterio di accesso,
list
i tuoi criteri di accesso.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
API
Per applicare la configurazione di prova per tutti i tuoi perimetri, chiama accessPolicies.servicePerimeters.commit
.
Aggiornamento di una configurazione di prova
Quando aggiorni una configurazione di prova, puoi modificare l'elenco di servizi, progetti e servizi accessibili tramite VPC, tra le altre funzionalità del perimetro.
Dopo aver aggiornato un perimetro di servizio, potrebbero essere necessari fino a 30 minuti prima che le modifiche vengano propagate e applicate. Durante questo periodo, il perimetro potrebbe bloccare
le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova secca.
Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio da modificare.
Nella pagina Dettagli perimetro di servizio VPC, fai clic su Modifica nella sezione Configurazione prova secca.
Nella pagina Modifica perimetro di servizio VPC, apporta modifiche alla configurazione della simulazione per il perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere nuovi progetti a un perimetro, utilizza il comando dry-run update
e
specifica le risorse da aggiungere:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio di cui vuoi ottenere i dettagli.
RESOURCES è un elenco separato da virgole di uno o più numeri di progetto o nomi di reti VPC. Ad esempio:
projects/12345
o//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Sono consentiti solo progetti e reti VPC. Formato del progetto:projects/<project_number>
. Formato VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>
.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Per aggiornare l'elenco dei servizi con limitazioni, utilizza il comando dry-run update
e specifica i servizi da aggiungere come elenco delimitato da virgole:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio di cui vuoi ottenere i dettagli.
SERVICES è un elenco delimitato da virgole di uno o più servizi. Ad esempio:
storage.googleapis.com
ostorage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Identificazione delle richieste bloccate
Dopo aver creato una configurazione di prova, puoi esaminare i log per identificare dove la configurazione di prova negherebbe l'accesso ai servizi se applicata.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Logging, quindi su Esplora log.
Nel campo Query, inserisci un filtro di query come quello riportato di seguito e poi fai clic su Esegui query.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
Visualizza i log in Risultati delle query.
gcloud
Per visualizzare i log utilizzando gcloud CLI, esegui un comando come il seguente:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'