In questa pagina viene descritto come gestire la configurazione di prova per perimetri di servizio. Per informazioni sulla gestione del servizio in generale, consulta Gestione dei perimetri di servizio.
Prima di iniziare
Leggi Modalità dry run
Imposta il criterio di accesso predefinito per l'utilizzo dello strumento a riga di comando
gcloud.-oppure-
Recupera il nome della norma. Il nome del criterio è obbligatorio per i comandi utilizzando lo strumento a riga di comando
gcloude le chiamate API. Se imposti un valore predefinito non è necessario specificare il criterio per lo strumento a riga di comandogcloud.
Applicazione di una configurazione dry run
Se la configurazione di un perimetro di servizio ti soddisfa, puoi applicare questa configurazione. Quando viene applicata una configurazione dry run, sostituisce l'attuale configurazione applicata per un perimetro, se esistente. Se non esiste una versione applicata del perimetro, la configurazione dry run viene utilizzata come configurazione iniziale applicata per il perimetro.
Dopo aver aggiornato un perimetro di servizio, potrebbero essere necessari fino a 30 minuti prima che
le modifiche da propagare e da rendere effettive. Durante questo periodo, il perimetro potrebbe bloccare
richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza e poi fai clic su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità dry run.
Nell'elenco dei perimetri di servizio, fai clic sul nome del servizio che vuoi applicare.
Nella pagina Dettagli perimetro di servizio VPC, in Configurazione dry run fai clic su Applica.
Quando ti viene chiesto di confermare che vuoi sovrascrivere i file esistenti, per la configurazione applicata, fai clic su Applica.
gcloud
Puoi utilizzare lo strumento a riga di comando gcloud per applicare la configurazione dry per un singolo
così come per tutti i perimetri contemporaneamente.
Applicare una configurazione dry run
Per applicare la configurazione dry run per un singolo perimetro, utilizza la classe
Comando dry-run enforce:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio che di cui volete ottenere i dettagli.
POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato criterio di accesso predefinito.
Applica tutte le configurazioni dry run
Per applicare la configurazione dry run per tutti i perimetri, utilizza
Comando dry-run enforce-all:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio che di cui volete ottenere i dettagli.
ETAG è una stringa che rappresenta il target una versione del criterio di accesso della tua organizzazione. Se non includi un etag, l'operazione
enforce-allha come target l'ultima versione del tuo del criterio di accesso dell'organizzazione.Per ottenere l'etag più recente del tuo criterio di accesso,
listi tuoi criteri di accesso.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato criterio di accesso predefinito.
API
Per applicare la configurazione dry run per tutti i
perimetri, chiama accessPolicies.servicePerimeters.commit.
Aggiornamento di una configurazione dry run
Quando aggiorni una configurazione di prova, puoi modificare l'elenco di servizi, progetti e servizi accessibili da VPC, tra le altre caratteristiche del perimetro.
Dopo aver aggiornato un perimetro di servizio, potrebbero essere necessari fino a 30 minuti prima che
le modifiche da propagare e da rendere effettive. Durante questo periodo, il perimetro potrebbe bloccare
richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza e poi fai clic su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità dry run.
Nell'elenco dei perimetri di servizio, fai clic sul nome del servizio che vuoi modificare.
Nella pagina Dettagli perimetro di servizio VPC, in Configurazione dry run fai clic su Modifica.
Nella pagina Modifica perimetro di servizio VPC, apporta le modifiche alla e configurare l'esecuzione per il perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere nuovi progetti a un perimetro, utilizza il comando dry-run update e
specificare le risorse da aggiungere:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio che di cui volete ottenere i dettagli.
RESOURCES è un elenco separato da virgole di uno o più progetti numeri o nomi di reti VPC. Ad esempio:
projects/12345o//compute.googleapis.com/projects/my-project/global/networks/vpc1. Sono consentiti solo progetti e reti VPC. Formato progetto:projects/<project_number>. Formato VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato criterio di accesso predefinito.
Per aggiornare l'elenco dei servizi limitati, utilizza il comando dry-run update
e specifica i servizi da aggiungere sotto forma di elenco delimitato da virgole:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio che di cui volete ottenere i dettagli.
SERVICES è un elenco di uno o più servizi delimitato da virgole. Ad esempio:
storage.googleapis.comostorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato criterio di accesso predefinito.
Identificazione delle richieste bloccate
Dopo aver creato una configurazione di prova, puoi esaminare i log per identificare dove la configurazione di prova negherebbe l'accesso ai servizi se applicata.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Logging, quindi Fai clic su Esplora log.
Nel campo Query, inserisci un filtro di query come il seguente: e poi fai clic su Esegui query.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Visualizza i log in Risultati delle query.
gcloud
Per visualizzare i log utilizzando gcloud CLI, esegui un comando simile al seguente:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'