Gérer les configurations de dry run

Cette page explique comment gérer la configuration de simulation pour vos périmètres de service. Pour en savoir plus sur la gestion des périmètres de service de manière générale, consultez la page Gérer les périmètres de service.

Avant de commencer

Appliquer une configuration de simulation

Lorsque vous êtes satisfait de la configuration de simulation pour un périmètre de service, vous pouvez appliquer cette configuration. Lorsqu'une configuration de simulation est forcée, elle remplace la configuration actuellement appliquée au périmètre, le cas échéant. Si aucune version "forcée" du périmètre n'existe, la configuration de simulation est utilisée comme configuration forcée initiale pour le périmètre.

Après la mise à jour d'un périmètre de service, la propagation et la prise en compte des modifications peuvent prendre jusqu'à 30 minutes. Pendant ce temps, le périmètre peut bloquer les requêtes avec le message d'erreur suivant: Error 403: Request is prohibited by organization's policy.

Console

  1. Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. En haut de la page VPC Service Controls, cliquez sur Mode simulation.

  3. Dans la liste des périmètres de service, cliquez sur le nom du périmètre de service que vous souhaitez forcer.

  4. Sur la page Détail du périmètre de service VPC, dans la section Configuration de simulation, cliquez sur Appliquer.

  5. Lorsque vous êtes invité à confirmer que vous souhaitez remplacer votre configuration forcée existante, cliquez sur Appliquer.

gcloud

Vous pouvez utiliser l'outil de ligne de commande gcloud pour appliquer simultanément la configuration de simulation à un périmètre individuel, ainsi que pour tous vos périmètres.

Appliquer une configuration de simulation

Pour appliquer la configuration de simulation pour un périmètre unique, utilisez la commande dry-run enforce :

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

Où :

  • PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.

  • POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.

Appliquer toutes les configurations de simulation

Pour appliquer la configuration de simulation à tous vos périmètres, utilisez la commande dry-run enforce-all :

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

Où :

  • PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.

  • ETAG est une chaîne représentant la version cible de la règle d'accès de votre organisation. Si vous n'incluez pas d'ETag, l'opération enforce-all cible la dernière version de la règle d'accès de votre organisation.

    Pour obtenir le dernier ETag de votre règle d'accès, répertoriez (commande list) vos règles d'accès.

  • POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.

API

Pour appliquer la configuration de simulation pour tous vos périmètres, appelez accessPolicies.servicePerimeters.commit.

Mettre à jour une configuration de simulation

Lorsque vous mettez à jour une configuration de simulation, vous pouvez modifier la liste des services, des projets et des services accessibles au VPC, entre autres fonctionnalités du périmètre.

Après la mise à jour d'un périmètre de service, la propagation et la prise en compte des modifications peuvent prendre jusqu'à 30 minutes. Pendant ce temps, le périmètre peut bloquer les requêtes avec le message d'erreur suivant: Error 403: Request is prohibited by organization's policy.

Console

  1. Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. En haut de la page VPC Service Controls, cliquez sur Mode simulation.

  3. Dans la liste des périmètres de service, cliquez sur le nom du périmètre de service que vous souhaitez modifier.

  4. Sur la page Détail du périmètre de service VPC, dans la section Configuration de simulation, cliquez sur Modifier.

  5. Sur la page Modifier le périmètre de service VPC, modifiez la configuration de simulation pour le périmètre de service.

  6. Cliquez sur Enregistrer.

gcloud

Pour ajouter des projets à un périmètre, utilisez la commande dry-run update et spécifiez les ressources à ajouter :

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=RESOURCES \
  [--policy=POLICY_NAME]

Où :

  • PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.

  • RESOURCES est une liste d'un ou de plusieurs numéros de projet ou noms de réseaux VPC séparés par une virgule. Par exemple, projects/12345 ou //compute.googleapis.com/projects/my-project/global/networks/vpc1. Seuls les projets et les réseaux VPC sont autorisés. Format du projet: projects/<project_number>. Format de VPC: //compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.

  • POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.

Pour mettre à jour la liste des services limités, exécutez la commande dry-run update et spécifiez la liste des services à ajouter, séparés par des virgules :

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

Où :

  • PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.

  • SERVICES est une liste de services séparés par des virgules. Par exemple, storage.googleapis.com ou storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.

Identifier les requêtes bloquées

Après avoir créé une configuration de dry run, vous pouvez consulter les journaux pour identifier l'endroit où la configuration de dry run refuserait l'accès aux services si elle est appliquée.

Console

  1. Dans le menu de navigation de la console Google Cloud, cliquez sur Logging (Journalisation), puis sur Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Dans le champ Requête, saisissez un filtre de requête semblable à celui-ci, puis cliquez sur Exécuter la requête.

    log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
    
  3. Affichez les journaux sous Résultats de la requête.

gcloud

Pour afficher les journaux à l'aide de gcloud CLI, exécutez une commande semblable à celle-ci:

gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'