Gerenciar configurações de simulação

Nesta página, descrevemos como gerenciar a configuração de simulação para os perímetros de serviço. Para mais informações sobre como gerenciar perímetros de serviço em geral, consulte Como gerenciar perímetros de serviço.

Antes de começar

Como aplicar uma configuração de simulação

Quando estiver satisfeito com a configuração de simulação de um perímetro de serviço, será possível aplicar essa configuração. Quando uma configuração de simulação é aplicada, ela substitui a configuração atual aplicada de um perímetro, se houver. Se não houver uma versão aplicada do perímetro, a configuração de simulação será usada como a configuração inicial aplicada para o perímetro.

Depois de atualizar um perímetro de serviço, pode levar até 30 minutos para que as alterações sejam propagadas e entrem em vigor. Durante esse período, o perímetro pode bloquear solicitações com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.

Console

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar a página "VPC Service Controls"

  2. Na parte superior da página do VPC Service Controls, clique em Modo de simulação.

  3. Na lista de perímetros de serviço, clique no nome do perímetro de serviço que você quer aplicar.

  4. Na página Detalhes do perímetro de serviço da VPC, na seção Configuração de simulação, clique em Aplicar.

  5. Quando for solicitado que você confirme a substituição da configuração aplicada, clique em Aplicar.

gcloud

Use a ferramenta de linha de comando gcloud para aplicar a configuração simulada para um perímetro individual, assim como para todos os perímetros simultaneamente.

Aplicar uma configuração de simulação

Para aplicar a configuração de simulação a um único perímetro, use o comando dry-run enforce:

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

Em que:

  • PERIMETER_NAME é o nome do perímetro de serviço com os detalhes que você quer conhecer.

  • POLICY_NAME é o nome da política de acesso da organização. Esse valor é necessário somente se você não tiver definido uma política de acesso padrão.

Aplicar todas as configurações de simulação

Para aplicar a configuração de simulação a todos os perímetros, use o comando dry-run enforce-all:

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

Em que:

  • PERIMETER_NAME é o nome do perímetro de serviço com os detalhes que você quer conhecer.

  • ETAG é uma string que representa a versão de destino da política de acesso da sua organização. Se você não incluir uma etag, a operação enforce-all segmentará a versão mais recente da política de acesso da sua organização.

    Para receber a última ETag da sua política de acesso, list suas políticas de acesso.

  • POLICY_NAME é o nome da política de acesso da organização. Esse valor é necessário somente se você não tiver definido uma política de acesso padrão.

API

Para aplicar a configuração de simulação a todos os perímetros, chame accessPolicies.servicePerimeters.commit.

Como atualizar uma configuração de simulação

Ao atualizar uma configuração de simulação, é possível modificar a lista de serviços, projetos e serviços acessíveis da VPC, entre outros recursos do perímetro.

Depois de atualizar um perímetro de serviço, pode levar até 30 minutos para que as alterações sejam propagadas e entrem em vigor. Durante esse período, o perímetro pode bloquear solicitações com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.

Console

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar a página "VPC Service Controls"

  2. Na parte superior da página do VPC Service Controls, clique em Modo de simulação.

  3. Na lista de perímetros de serviço, clique no nome do perímetro de serviço que você quer editar.

  4. Na página Detalhes do perímetro de serviço da VPC, na seção Configuração de simulação, clique em Editar.

  5. Na página Editar perímetro de serviço da VPC, faça alterações na configuração de simulação do perímetro de serviço.

  6. Clique em Save.

gcloud

Para adicionar novos projetos a um perímetro, use o comando dry-run update e especifique os recursos a serem adicionados:

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=RESOURCES \
  [--policy=POLICY_NAME]

Em que:

  • PERIMETER_NAME é o nome do perímetro de serviço com os detalhes que você quer conhecer.

  • RESOURCES é uma lista separada por vírgulas de um ou mais números de projeto ou nomes de rede VPC. Por exemplo, projects/12345 ou //compute.googleapis.com/projects/my-project/global/networks/vpc1. Somente projetos e redes VPC são permitidos. Formato do projeto: projects/<project_number>. Formato VPC: //compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.

  • POLICY_NAME é o nome da política de acesso da organização. Esse valor é necessário somente se você não tiver definido uma política de acesso padrão.

Para atualizar a lista de serviços restritos, use o comando dry-run update e especifique os serviços a serem adicionados como uma lista delimitada por vírgulas:

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

Em que:

  • PERIMETER_NAME é o nome do perímetro de serviço com os detalhes que você quer conhecer.

  • SERVICES é uma lista delimitada por vírgulas de um ou mais serviços. Por exemplo, storage.googleapis.com ou storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME é o nome da política de acesso da organização. Esse valor é necessário somente se você não tiver definido uma política de acesso padrão.

Como identificar solicitações bloqueadas

Após criar uma configuração de simulação, é possível analisar os registros para identificar onde essa configuração negaria o acesso aos serviços, se aplicada.

Console

  1. No menu de navegação do console do Google Cloud, clique em Logging e em Explorador de registros.

    Acessar o Explorador de registros

  2. No campo Consulta, insira um filtro de consulta como o filtro a seguir e clique em Executar consulta.

    log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
    
  3. Veja os registros em Resultados da consulta.

gcloud

Para ver registros usando a CLI gcloud, execute um comando como este:

gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'