En esta página se describe cómo puedes gestionar la configuración de la prueba en seco de tus perímetros de servicio. Para obtener información sobre cómo gestionar los perímetros de servicio en general, consulta Gestionar perímetros de servicio.
Antes de empezar
Consulta la información general sobre Controles de Servicio de VPC.
Consulta Modo de ejecución de prueba.
Define tu política de acceso predeterminada para usar la herramienta de línea de comandos
gcloud.-o-
Obtén el nombre de tu política. El nombre de la política es obligatorio para los comandos que usan la herramienta de línea de comandos
gcloudy para las llamadas a la API. Si defines una política de acceso predeterminada, no tendrás que especificar la política para la herramienta de línea de comandosgcloud.
Aplicar una configuración de ejecución de prueba
Cuando estés conforme con la configuración de la prueba de un perímetro de servicio, puedes aplicarla. Cuando se aplica una configuración de prueba, se sustituye la configuración obligatoria actual de un perímetro, si existe. Si no existe una versión obligatoria del perímetro, la configuración de ejecución de prueba se usa como configuración obligatoria inicial del perímetro.
Después de actualizar un perímetro de servicio, los cambios pueden tardar hasta 30 minutos en propagarse y aplicarse. Durante este tiempo, el perímetro puede bloquear las solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Consola
En el menú de navegación de la Google Cloud consola, haga clic en Seguridad y, a continuación, en Controles de servicios de VPC.
En la página Controles de Servicio de VPC, haga clic en Modo de ejecución de prueba.
En la lista de perímetros de servicio, haga clic en el nombre del perímetro de servicio que quiera aplicar.
En la página Detalles del perímetro de servicio, haga clic en Aplicar configuración.
Cuando se te pida que confirmes que quieres sobrescribir la configuración obligatoria, haz clic en Confirm (Confirmar).
gcloud
Puedes usar la herramienta de línea de comandos gcloud para aplicar la configuración de prueba a un perímetro concreto, así como a todos tus perímetros simultáneamente.
Forzar una configuración de ejecución de prueba
Para aplicar la configuración de prueba de funcionamiento a un único perímetro, usa el comando dry-run enforce:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Donde:
PERIMETER_NAME es el nombre del perímetro de servicio del que quieres obtener detalles.
POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es obligatorio si no has definido una política de acceso predeterminada.
Aplicar todas las configuraciones de ejecución de prueba
Para aplicar la configuración de prueba de funcionamiento a todos tus perímetros, usa el comando dry-run enforce-all:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Donde:
PERIMETER_NAME es el nombre del perímetro de servicio del que quieres obtener detalles.
ETAG es una cadena que representa la versión de destino de la política de acceso de tu organización. Si no incluyes un etag, la operación
enforce-allse dirigirá a la versión más reciente de la política de acceso de tu organización.Para obtener el último etag de tu política de acceso, consulta tus
listpolíticas de acceso.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es obligatorio si no has definido una política de acceso predeterminada.
API
Para aplicar la configuración de ejecución de prueba a todos tus perímetros, llama a accessPolicies.servicePerimeters.commit.
Actualizar una configuración de ejecución de prueba
Cuando actualizas una configuración de prueba, puedes modificar la lista de servicios, proyectos y servicios accesibles de VPC, entre otras funciones del perímetro.
Después de actualizar un perímetro de servicio, los cambios pueden tardar hasta 30 minutos en propagarse y aplicarse. Durante este tiempo, el perímetro puede bloquear las solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Consola
En el menú de navegación de la Google Cloud consola, haga clic en Seguridad y, a continuación, en Controles de servicios de VPC.
En la página Controles de Servicio de VPC, haga clic en Modo de ejecución de prueba.
En la lista de perímetros de servicio, haga clic en el nombre del perímetro de servicio que quiera editar.
En la página Detalles del perímetro de servicio, haz clic en Editar.
En la página Editar perímetro de servicio, haz cambios en la configuración de prueba del perímetro de servicio.
Haz clic en Guardar.
gcloud
Para añadir proyectos a un perímetro, usa el comando dry-run update y especifica los recursos que quieras añadir:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Donde:
PERIMETER_NAME es el nombre del perímetro de servicio del que quieres obtener detalles.
RESOURCES es una lista separada por comas de uno o varios números de proyecto o nombres de redes de VPC. Por ejemplo,
projects/12345o//compute.googleapis.com/projects/my-project/global/networks/vpc1. Solo se permiten proyectos y redes de VPC. Formato del proyecto:projects/<project_number>. Formato de VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es obligatorio si no has definido una política de acceso predeterminada.
Para actualizar la lista de servicios restringidos, usa el comando dry-run update y especifica los servicios que quieras añadir como una lista delimitada por comas:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Donde:
PERIMETER_NAME es el nombre del perímetro de servicio del que quieres obtener detalles.
SERVICES es una lista de uno o varios servicios separados por comas. Por ejemplo,
storage.googleapis.comostorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es obligatorio si no has definido una política de acceso predeterminada.
Identificar solicitudes bloqueadas
Una vez que hayas creado una configuración de prueba, puedes consultar los registros para identificar en qué casos se denegaría el acceso a los servicios si se aplicara la configuración de prueba.
Consola
En el menú de navegación de la consola Google Cloud , haga clic en Registro y, a continuación, en Explorador de registros.
En el campo Consulta, introduce un filtro de consulta como el siguiente y, a continuación, haz clic en Ejecutar consulta.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Consulta los registros en Resultados de la consulta.
gcloud
Para ver los registros con gcloud CLI, ejecuta un comando como el siguiente:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'