Cette page explique comment gérer la configuration de simulation pour vos périmètres de service. Pour en savoir plus sur la gestion des périmètres de service de manière générale, consultez la page Gérer les périmètres de service.
Avant de commencer
Consultez la page Présentation de VPC Service Controls.
Consultez la page Mode simulation.
Définissez la règle d'accès par défaut de l'outil de ligne de commande
gcloud
.-ou-
Récupérez le nom de votre règle. Le nom de la règle est requis pour les commandes qui utilisent l'outil de ligne de commande
gcloud
et effectuent des appels d'API. Si vous définissez une règle d'accès par défaut, vous n'avez pas besoin de la spécifier pour l'outil de ligne de commandegcloud
.
Appliquer une configuration de simulation
Lorsque vous êtes satisfait de la configuration de simulation pour un périmètre de service, vous pouvez appliquer cette configuration. Lorsqu'une configuration de simulation est forcée, elle remplace la configuration actuellement appliquée au périmètre, le cas échéant. Si aucune version "forcée" du périmètre n'existe, la configuration de simulation est utilisée comme configuration forcée initiale pour le périmètre.
Après la mise à jour d'un périmètre de service, la propagation et la prise en compte des modifications peuvent prendre jusqu'à 30 minutes. Pendant cette période, le périmètre peut bloquer les requêtes avec le message d'erreur suivant : Error 403: Request is prohibited by organization's policy.
Console
Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.
En haut de la page VPC Service Controls, cliquez sur Mode simulation.
Dans la liste des périmètres de service, cliquez sur le nom du périmètre de service que vous souhaitez forcer.
Sur la page Détail du périmètre de service VPC, dans la section Configuration de simulation, cliquez sur Appliquer.
Lorsque vous êtes invité à confirmer que vous souhaitez remplacer votre configuration forcée existante, cliquez sur Appliquer.
gcloud
Vous pouvez utiliser l'outil de ligne de commande gcloud
pour appliquer simultanément la configuration de simulation à un périmètre individuel, ainsi que pour tous vos périmètres.
Appliquer une configuration de simulation
Pour appliquer la configuration de simulation pour un périmètre unique, utilisez la commande dry-run enforce
:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Où :
PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.
POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.
Appliquer toutes les configurations de simulation
Pour appliquer la configuration de simulation à tous vos périmètres, utilisez la commande dry-run enforce-all
:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Où :
PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.
ETAG est une chaîne représentant la version cible de la règle d'accès de votre organisation. Si vous n'incluez pas d'ETag, l'opération
enforce-all
cible la dernière version de la règle d'accès de votre organisation.Pour obtenir le dernier ETag de votre règle d'accès, répertoriez (commande
list
) vos règles d'accès.POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.
API
Pour appliquer la configuration de simulation pour tous vos périmètres, appelez accessPolicies.servicePerimeters.commit
.
Mettre à jour une configuration de simulation
Lorsque vous mettez à jour une configuration de simulation, vous pouvez modifier la liste des services, des projets et des services accessibles au VPC, entre autres fonctionnalités du périmètre.
Après la mise à jour d'un périmètre de service, la propagation et la prise en compte des modifications peuvent prendre jusqu'à 30 minutes. Pendant cette période, le périmètre peut bloquer les requêtes avec le message d'erreur suivant : Error 403: Request is prohibited by organization's policy.
Console
Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.
En haut de la page VPC Service Controls, cliquez sur Mode simulation.
Dans la liste des périmètres de service, cliquez sur le nom du périmètre de service que vous souhaitez modifier.
Sur la page Détail du périmètre de service VPC, dans la section Configuration de simulation, cliquez sur Modifier.
Sur la page Modifier le périmètre de service VPC, modifiez la configuration de simulation pour le périmètre de service.
Cliquez sur Enregistrer.
gcloud
Pour ajouter des projets à un périmètre, utilisez la commande dry-run update
et spécifiez les ressources à ajouter :
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Où :
PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.
RESOURCES est une liste d'un ou de plusieurs numéros de projet ou de noms de réseaux VPC, séparés par une virgule. Par exemple,
projects/12345
ou//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Seuls les projets et les réseaux VPC sont autorisés. Format de projet:projects/<project_number>
. Format VPC ://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>
.POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.
Pour mettre à jour la liste des services limités, exécutez la commande dry-run update
et spécifiez la liste des services à ajouter, séparés par des virgules :
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Où :
PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.
SERVICES est une liste de services séparés par des virgules. Par exemple,
storage.googleapis.com
oustorage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.
Identifier les requêtes bloquées
Après avoir créé une configuration de simulation, vous pouvez consulter les journaux pour identifier où la configuration refuserait l'accès aux services si elle était appliquée.
Console
Dans le menu de navigation de la console Google Cloud, cliquez sur Journalisation, puis Cliquez sur Explorateur de journaux.
Dans le champ Query (Requête), saisissez un filtre de requête semblable au filtre suivant, puis cliquez sur Run query (Exécuter la requête).
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
Consultez les journaux sous Résultats de la requête.
gcloud
Pour afficher les journaux à l'aide de gcloud CLI, exécutez une commande semblable à la suivante :
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'