Administra la configuración de la ejecución de prueba

En esta página, se describe cómo administrar la configuración de la ejecución de prueba para tus perímetros de servicio. Para obtener información sobre la administración general de los perímetros de servicio, consulta Administra perímetros de servicio.

Antes de comenzar

Aplica una configuración de ejecución de prueba

Cuando estés satisfecho con la configuración de ejecución de prueba para un perímetro de servicio, puedes aplicarla. Cuando se aplica una configuración de ejecución de prueba, se reemplaza la configuración aplicada actual para un perímetro, si existe una. Si no existe una versión aplicada del perímetro, se usa la configuración de ejecución de prueba como la configuración inicial aplicada para el perímetro.

Después de actualizar un perímetro de servicio, puede tardar hasta 30 minutos los cambios se propaguen y tengan efecto. Durante este tiempo, es posible que el perímetro bloquee solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.

Console

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. En la parte superior de la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.

  3. En la lista de perímetros de servicio, haz clic en el nombre del perímetro de servicio que deseas aplicar.

  4. En la página Detalles del perímetro de servicio de VPC, en la sección Configuración de ejecución de prueba, haz clic en Aplicar.

  5. Cuando se te solicite confirmar que deseas reemplazar tu configuración aplicada actual, haz clic en Aplicar.

gcloud

Puedes usar la herramienta de línea de comandos de gcloud para aplicar la configuración de ejecución de prueba en un perímetro individual y en todos los perímetros de manera simultánea.

Aplica una configuración de ejecución de prueba

A fin de aplicar la configuración de ejecución de prueba para un perímetro único, usa el comando dry-run enforce:

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

En el ejemplo anterior, se ilustra lo siguiente:

  • PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.

  • POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.

Aplica todos los parámetros de configuración de la ejecución de prueba

A fin de aplicar la configuración de ejecución de prueba para todos tus perímetros, usa el comando dry-run enforce-all:

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

En el ejemplo anterior, se ilustra lo siguiente:

  • PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.

  • ETAG es una string que representa la versión de destino de la política de acceso de tu organización. Si no incluyes una ETag, la operación enforce-all apunta a la última versión de la política de acceso de tu organización.

    Para obtener la última ETag de la política de acceso, list tus políticas de acceso.

  • POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.

API

A fin de aplicar la configuración de ejecución de prueba para todos tus perímetros, llama a accessPolicies.servicePerimeters.commit.

Actualiza una configuración de ejecución de prueba

Cuando actualizas una configuración de ejecución de prueba, puedes modificar la lista de servicios, proyectos y servicios de VPC accesibles, entre otras funciones del perímetro.

Después de actualizar un perímetro de servicio, puede tardar hasta 30 minutos los cambios se propaguen y tengan efecto. Durante este tiempo, es posible que el perímetro bloquee solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.

Console

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. En la parte superior de la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.

  3. En la lista de perímetros de servicio, haz clic en el nombre del perímetro de servicio que deseas editar.

  4. En la página Detalles del perímetro de servicio de VPC, en la sección Configuración de ejecución de prueba, haz clic en Editar.

  5. En la página Editar Perímetro de servicio de VPC, realiza los cambios a la configuración de ejecución de prueba para el perímetro de servicio.

  6. Haz clic en Guardar.

gcloud

Si deseas agregar proyectos nuevos a un perímetro, usa el comando dry-run update y especifica los recursos que agregarás:

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=RESOURCES \
  [--policy=POLICY_NAME]

En el ejemplo anterior, se ilustra lo siguiente:

  • PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.

  • RESOURCES es una lista separada por comas de uno o más números de proyectos o nombres de redes de VPC. Por ejemplo: projects/12345 o //compute.googleapis.com/projects/my-project/global/networks/vpc1. Solo se permiten proyectos y redes de VPC. Formato del proyecto: projects/<project_number>. Formato de VPC: //compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.

  • POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.

Para actualizar la lista de servicios restringidos, usa el comando dry-run update y especifica los servicios que deseas agregar como una lista delimitada por comas:

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

En el ejemplo anterior, se ilustra lo siguiente:

  • PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.

  • SERVICES es una lista delimitada por comas de uno o más servicios. Por ejemplo: storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.

Identifica las solicitudes bloqueadas

Después de crear una configuración de ejecución de prueba, puedes revisar los registros para identificar en qué puntos la configuración de ejecución de prueba denegaría el acceso a los servicios si se aplicara.

Console

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Logging y, luego, en Explorador de registros.

    Ir al Explorador de registros

  2. En el campo Consulta, ingresa un filtro de consulta como el siguiente y, luego, haz clic en Ejecutar consulta.

    log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
    
  3. Visualiza los registros en Resultados de la consulta.

gcloud

Para ver los registros con gcloud CLI, ejecuta un comando como el siguiente:

gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'