Auf dieser Seite wird beschrieben, wie Sie die Probelaufkonfiguration für Ihre Dienstperimeter verwalten können. Allgemeine Informationen zum Verwalten von Dienstperimetern finden Sie unter Dienstperimeter verwalten.
Hinweise
Lesen Sie VPC Service Controls.
Probelaufmodus lesen
Legen Sie Ihre Standardzugriffsrichtlinie fest, um das
gcloud-Befehlszeilentool zu verwenden.– oder –
Rufen Sie den Namen Ihrer Richtlinie ab. Der Richtlinienname ist für Befehle erforderlich, die das
gcloud-Befehlszeilentool verwenden und API-Aufrufe ausführen. Wenn Sie eine Standardzugriffsrichtlinie festlegen, müssen Sie die Richtlinie nicht für dasgcloud-Befehlszeilentool angeben.
Probelaufkonfiguration erzwingen
Wenn Sie mit der Probelaufkonfiguration für einen Dienstperimeter zufrieden sind, können Sie diese Konfiguration erzwingen. Wenn eine Probelaufkonfiguration erzwungen wird, ersetzt sie die aktuell erzwungene Konfiguration für einen Perimeter, sofern vorhanden. Wenn keine erzwungene Version des Perimeters existiert, wird die Probelaufkonfiguration als anfängliche erzwungene Konfiguration für den Perimeter verwendet.
Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden. Während dieser Zeit kann der Perimeter Anfragen mit der folgenden Fehlermeldung blockieren: Error 403: Request is prohibited by organization's policy.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie oben auf der Seite VPC Service Controls auf Probelaufmodus.
Klicken Sie in der Liste der Dienstperimeter auf den Namen des Dienstperimeters, den Sie erzwingen möchten.
Klicken Sie auf der Seite VPC-Dienstperimeterdetail im Abschnitt Probelaufkonfiguration auf Erzwingen.
Wenn Sie aufgefordert werden, zu bestätigen, dass Sie die vorhandene erzwungene Konfiguration überschreiben möchten, klicken Sie auf Erzwingen.
gcloud
Mit dem gcloud-Befehlszeilentool können Sie die Probekonfiguration für einen einzelnen Perimeter sowie für alle Perimeter gleichzeitig erzwingen.
Probelaufkonfiguration erzwingen
Verwenden Sie den Befehl dry-run enforce, um die Probelaufkonfiguration für einen einzelnen Perimeter zu erzwingen:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Wobei:
PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.
POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.
Alle Probelaufkonfigurationen erzwingen
Verwenden Sie den Befehl dry-run enforce-all, um die Probelaufkonfiguration für alle Perimeter zu erzwingen:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Wobei:
PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.
ETAG ist ein String, der die Zielversion der Zugriffsrichtlinie Ihrer Organisation darstellt. Wenn Sie kein ETag einfügen, wird die
enforce-all-Operation auf die neueste Version der Zugriffsrichtlinie Ihrer Organisation ausgerichtet.Listen Sie Ihre Zugriffsrichtlinien auf (
list), um das aktuelle ETag Ihrer Zugriffsrichtlinie zu erhalten.POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.
API
Rufen Sie accessPolicies.servicePerimeters.commit auf, um die Probelaufkonfiguration für alle Perimeter zu erzwingen.
Probelaufkonfiguration aktualisieren
Wenn Sie eine Probelaufkonfiguration aktualisieren, können Sie unter anderem die Liste der Dienste, Projekte und über VPC zugänglichen Dienste ändern.
Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden. Während dieser Zeit kann der Perimeter Anfragen mit der folgenden Fehlermeldung blockieren: Error 403: Request is prohibited by organization's policy.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie oben auf der Seite VPC Service Controls auf Probelaufmodus.
Klicken Sie in der Liste der Dienstperimeter auf den Namen des Dienstperimeters, den Sie bearbeiten möchten.
Klicken Sie auf der Seite VPC-Dienstperimeterdetail im Abschnitt Probelaufkonfiguration auf Bearbeiten.
Nehmen Sie auf der Seite VPC-Dienstperimeter bearbeiten die Änderungen an der Probelaufkonfiguration für den Dienstperimeter vor.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl dry-run update und geben Sie die hinzuzufügenden Ressourcen an, um einem Perimeter neue Projekte hinzuzufügen:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Wobei:
PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.
RESOURCES ist eine durch Kommas getrennte Liste mit einer oder mehreren Projektnummern oder VPC-Netzwerknamen. Beispiel:
projects/12345oder//compute.googleapis.com/projects/my-project/global/networks/vpc1. Es sind nur Projekte und VPC-Netzwerke zulässig. Projektformat:projects/<project_number>. VPC-Format://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.
Verwenden Sie zum Aktualisieren der Liste der eingeschränkten Dienste den Befehl dry-run update und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Wobei:
PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.
SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel:
storage.googleapis.comoderstorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.
Blockierte Anfragen identifizieren
Nachdem Sie eine Probelaufkonfiguration erstellt haben, können Sie in den Logs prüfen, wo die Probelaufkonfiguration den Zugriff auf Dienste verweigert, wenn sie erzwungen wird.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Logging und dann auf Log-Explorer.
Geben Sie im Feld Abfrage einen Abfragefilter wie den folgenden ein und klicken Sie auf Abfrage ausführen.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Sehen Sie sich die Logs unter Abfrageergebnisse an.
gcloud
Führen Sie einen Befehl wie den folgenden aus, um Logs mit der gcloud CLI aufzurufen:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'