Gérer les configurations de simulation

Cette page explique comment gérer la configuration de simulation pour vos périmètres de service. Pour en savoir plus sur la gestion générale des périmètres de service, consultez la page Gérer les périmètres de service.

Avant de commencer

Appliquer une configuration de simulation

Lorsque vous êtes satisfait de la configuration de simulation d'un périmètre de service, vous pouvez appliquer cette configuration. Lorsqu'une configuration de simulation est appliquée, elle remplace la configuration actuelle appliquée pour un périmètre, le cas échéant. Si une version forcée du périmètre n'existe pas, la configuration de simulation est utilisée comme configuration forcée initiale pour le périmètre.

Après la mise à jour d'un périmètre de service, la propagation et la prise en compte des modifications peuvent prendre jusqu'à 30 minutes.

Console

  1. Dans le menu de navigation de Google Cloud Console, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page "VPC Service Controls"

  2. En haut de la page VPC Service Controls, cliquez sur Mode simulation.

  3. Dans la liste des périmètres de service, cliquez sur le nom du périmètre de service que vous souhaitez appliquer.

  4. Sur la page Détail du périmètre de service VPC, dans la section Configuration de simulation, cliquez sur Appliquer.

  5. Lorsque vous êtes invité à confirmer que vous souhaitez écraser la configuration appliquée existante, cliquez sur Appliquer.

gcloud

Vous pouvez utiliser l'outil de ligne de commande gcloud pour appliquer la configuration de simulation pour un périmètre individuel, ainsi que pour tous vos périmètres simultanément.

Appliquer une configuration de simulation

Pour appliquer la configuration de simulation pour un périmètre unique, utilisez la commande dry-run enforce :

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

Où :

  • PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.

  • POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.

Appliquer toutes les configurations de simulation

Pour appliquer la configuration de simulation à tous vos périmètres, utilisez la commande dry-run enforce-all :

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

Où :

  • PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.

  • ETAG est une chaîne qui représente la version cible de la règle d'accès de votre organisation. Si vous n'incluez pas d'etag, l'opération enforce-all cible la dernière version de la règle d'accès de votre organisation.

    Pour obtenir le dernier ETag de votre règle d'accès, list vos règles d'accès.

  • POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.

API

Pour appliquer la configuration de simulation à tous vos périmètres, appelez accessPolicies.servicePerimeters.commit.

Mettre à jour une configuration de simulation

Lorsque vous mettez à jour une configuration de simulation, vous pouvez modifier la liste des services, des projets et des services accessibles au VPC, entre autres fonctionnalités du périmètre.

Après la mise à jour d'un périmètre de service, la propagation et la prise en compte des modifications peuvent prendre jusqu'à 30 minutes.

Console

  1. Dans le menu de navigation de Google Cloud Console, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page "VPC Service Controls"

  2. En haut de la page VPC Service Controls, cliquez sur Mode simulation.

  3. Dans la liste des périmètres de service, cliquez sur le nom du périmètre de service que vous souhaitez modifier.

  4. Sur la page Détail du périmètre de service VPC, dans la section Configuration de simulation, cliquez sur Modifier.

  5. Sur la page Modifier le périmètre de service VPC, modifiez la configuration de simulation pour le périmètre de service.

  6. Cliquez sur Save.

gcloud

Pour ajouter des projets à un périmètre, utilisez la commande dry-run update et spécifiez les ressources à ajouter :

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=PROJECTS \
  [--policy=POLICY_NAME]

Où :

  • PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.

  • PROJECTS est une liste d'ID de projet séparés par des virgules. Par exemple, projects/100712 ou projects/100712,projects/233130.

  • POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.

Pour mettre à jour la liste des services restreints, exécutez la commande dry-run update et spécifiez les services à ajouter en tant que liste délimitée par des virgules :

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

Où :

  • PERIMETER_NAME est le nom du périmètre de service pour lequel vous souhaitez obtenir des détails.

  • SERVICES est une liste de services séparés par des virgules. Par exemple, storage.googleapis.com ou storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME est le nom de la règle d'accès de votre organisation. Cette valeur n'est requise que si vous n'avez pas défini de règle d'accès par défaut.