Probelaufkonfigurationen verwalten

Auf dieser Seite wird beschrieben, wie Sie die Probelaufkonfiguration für Ihre Dienstperimeter verwalten können. Informationen zum allgemeinen Verwalten von Dienstperimetern finden Sie unter Dienstperimeter verwalten.

Hinweis

Probelaufkonfiguration erzwingen

Wenn Sie mit der Probelaufkonfiguration für einen Dienstperimeter zufrieden sind, können Sie diese Konfiguration erzwingen. Wenn eine Probelaufkonfiguration erzwungen wird, ersetzt sie die aktuelle erzwungene Konfiguration für einen Perimeter, sofern vorhanden. Wenn keine erzwungene Version des Perimeters vorhanden ist, wird die Probelaufkonfiguration als anfängliche erzwungene Konfiguration für den Perimeter verwendet.

Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie oben auf der Seite VPC Service Controls auf Probelaufmodus.

  3. Klicken Sie in der Liste der Dienstperimeter auf den Namen des Dienstperimeters, den Sie erzwingen möchten.

  4. Klicken Sie auf der Seite VPC-Dienstperimeterdetails im Abschnitt Probelaufkonfiguration auf Erzwingen.

  5. Wenn Sie aufgefordert werden, zu bestätigen, dass Sie die vorhandene erzwungene Konfiguration überschreiben möchten, klicken Sie auf Erzwingen.

gcloud

Mit dem gcloud-Befehlszeilentool können Sie die Konfiguration für einen einzelnen Perimeter sowie für alle Perimeter gleichzeitig erzwingen.

Probelaufkonfiguration erzwingen

Wenn Sie die Konfiguration für den Probelauf für einen einzelnen Perimeter erzwingen möchten, verwenden Sie den Befehl dry-run enforce:

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Alle Probelaufkonfigurationen erzwingen

Verwenden Sie den Befehl dry-run enforce-all, um die Probelaufkonfiguration für alle Perimeter zu erzwingen:

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • ETAG ist ein String, der die Zielversion der Zugriffsrichtlinie Ihrer Organisation darstellt. Wenn Sie kein ETag angeben, wird der Vorgang enforce-all auf die neueste Version der Zugriffsrichtlinie Ihrer Organisation ausgerichtet.

    list Ihre Zugriffsrichtlinien, um den aktuellen ETag Ihrer Zugriffsrichtlinie zu erhalten.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

API

Rufen Sie accessPolicies.servicePerimeters.commit auf, um die Probelaufkonfiguration für alle Perimeter zu erzwingen.

Probelaufkonfiguration aktualisieren

Wenn Sie eine Probelaufkonfiguration aktualisieren, können Sie unter anderem die Liste der Dienste, Projekte und über VPC zugänglichen Dienste ändern.

Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie oben auf der Seite VPC Service Controls auf Probelaufmodus.

  3. Klicken Sie in der Liste der Dienstperimeter auf den Namen des Dienstperimeters, den Sie bearbeiten möchten.

  4. Klicken Sie auf der Seite VPC-Dienstperimeterdetail im Abschnitt Probelauf konfigurieren auf Bearbeiten.

  5. Nehmen Sie auf der Seite VPC-Dienstperimeter bearbeiten Änderungen an der Probelaufkonfiguration für den Dienstperimeter vor.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl dry-run update und geben Sie die hinzuzufügenden Ressourcen an, um einem Perimeter neue Projekte hinzuzufügen:

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=PROJECTS \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • PROJECTS ist eine durch Kommas getrennte Liste mit einer oder mehreren Projekt-IDs. Beispiel: projects/100712 oder projects/100712,projects/233130.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Verwenden Sie den Befehl dry-run update und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an, um die Liste der eingeschränkten Dienste zu aktualisieren:

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel: storage.googleapis.com oder storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.