En esta página, se describe cómo administrar la configuración de la ejecución de prueba para tus perímetros de servicio. Para obtener información sobre la administración general de los perímetros de servicio, consulta Administra perímetros de servicio.
Antes de comenzar
Lee Descripción general de los Controles del servicio de VPC.
Configura tu política de acceso predeterminada para usar la herramienta de línea de comandos de
gcloud
.o bien
Obtén el nombre de tu política. El nombre de la política es obligatorio para los comandos que usan la herramienta de línea de comandos de
gcloud
y hacen llamadas a la API. Si estableces una política de acceso predeterminada, no necesitas especificarla para la herramienta de línea de comandos degcloud
.
Aplica una configuración de ejecución de prueba
Cuando estés satisfecho con la configuración de ejecución de prueba para un perímetro de servicio, puedes aplicarla. Cuando se aplica una configuración de ejecución de prueba, se reemplaza la configuración aplicada actual para un perímetro, si existe una. Si no existe una versión aplicada del perímetro, se usa la configuración de ejecución de prueba como la configuración inicial aplicada para el perímetro.
Después de actualizar un perímetro de servicio, puede tardar hasta 30 minutos
los cambios se propaguen y tengan efecto. Durante este tiempo, es posible que el perímetro bloquee
solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Console
En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.
En la parte superior de la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.
En la lista de perímetros de servicio, haz clic en el nombre del perímetro de servicio que deseas aplicar.
En la página Detalles del perímetro de servicio de VPC, en la sección Configuración de ejecución de prueba, haz clic en Aplicar.
Cuando se te solicite confirmar que deseas reemplazar tu configuración aplicada actual, haz clic en Aplicar.
gcloud
Puedes usar la herramienta de línea de comandos de gcloud
para aplicar la configuración de ejecución de prueba en un perímetro individual y en todos los perímetros de manera simultánea.
Aplica una configuración de ejecución de prueba
A fin de aplicar la configuración de ejecución de prueba para un perímetro único, usa el comando dry-run enforce
:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
En el ejemplo anterior, se ilustra lo siguiente:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Aplica todos los parámetros de configuración de la ejecución de prueba
A fin de aplicar la configuración de ejecución de prueba para todos tus perímetros, usa el comando dry-run enforce-all
:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
En el ejemplo anterior, se ilustra lo siguiente:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
ETAG es una string que representa la versión de destino de la política de acceso de tu organización. Si no incluyes una ETag, la operación
enforce-all
apunta a la última versión de la política de acceso de tu organización.Para obtener la última ETag de la política de acceso,
list
tus políticas de acceso.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.
API
A fin de aplicar la configuración de ejecución de prueba para todos tus perímetros, llama a accessPolicies.servicePerimeters.commit
.
Actualiza una configuración de ejecución de prueba
Cuando actualizas una configuración de ejecución de prueba, puedes modificar la lista de servicios, proyectos y servicios de VPC accesibles, entre otras funciones del perímetro.
Después de actualizar un perímetro de servicio, puede tardar hasta 30 minutos
los cambios se propaguen y tengan efecto. Durante este tiempo, es posible que el perímetro bloquee
solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Console
En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.
En la parte superior de la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.
En la lista de perímetros de servicio, haz clic en el nombre del perímetro de servicio que deseas editar.
En la página Detalles del perímetro de servicio de VPC, en la sección Configuración de ejecución de prueba, haz clic en Editar.
En la página Editar Perímetro de servicio de VPC, realiza los cambios a la configuración de ejecución de prueba para el perímetro de servicio.
Haz clic en Guardar.
gcloud
Si deseas agregar proyectos nuevos a un perímetro, usa el comando dry-run update
y especifica los recursos que agregarás:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
En el ejemplo anterior, se ilustra lo siguiente:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
RESOURCES es una lista separada por comas de uno o más números de proyectos o nombres de redes de VPC. Por ejemplo:
projects/12345
o//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Solo se permiten proyectos y redes de VPC. Formato del proyecto:projects/<project_number>
. Formato de VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>
.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Para actualizar la lista de servicios restringidos, usa el comando dry-run update
y especifica los servicios que deseas agregar como una lista delimitada por comas:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
En el ejemplo anterior, se ilustra lo siguiente:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
SERVICES es una lista delimitada por comas de uno o más servicios. Por ejemplo:
storage.googleapis.com
ostorage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Identifica las solicitudes bloqueadas
Después de crear una configuración de ejecución de prueba, puedes revisar los registros para identificar en qué puntos la configuración de ejecución de prueba denegaría el acceso a los servicios si se aplicara.
Console
En el menú de navegación de la consola de Google Cloud, haz clic en Logging y, luego, en Explorador de registros.
En el campo Consulta, ingresa un filtro de consulta como el siguiente y, luego, haz clic en Ejecutar consulta.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
Visualiza los registros en Resultados de la consulta.
gcloud
Para ver los registros con gcloud CLI, ejecuta un comando como el siguiente:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'