Halaman ini menjelaskan cara mengelola konfigurasi uji coba untuk perimeter layanan Anda. Untuk mengetahui informasi tentang cara mengelola perimeter layanan secara umum, lihat Mengelola perimeter layanan.
Sebelum memulai
Baca Mode uji coba
Tetapkan kebijakan akses default untuk menggunakan alat command line
gcloud.-atau-
Dapatkan nama kebijakan Anda. Nama kebijakan diperlukan untuk perintah yang menggunakan alat command line
gclouddan melakukan panggilan API. Jika menetapkan kebijakan akses default, Anda tidak perlu menentukan kebijakan untuk alat command linegcloud.
Menerapkan konfigurasi uji coba
Setelah puas dengan konfigurasi uji coba untuk perimeter layanan, Anda dapat menerapkan konfigurasi tersebut. Jika konfigurasi uji coba diterapkan, konfigurasi tersebut akan menggantikan konfigurasi yang saat ini diterapkan untuk perimeter, jika ada. Jika versi perimeter yang diterapkan tidak ada, konfigurasi uji coba akan digunakan sebagai konfigurasi awal yang diterapkan untuk perimeter.
Setelah Anda mengupdate perimeter layanan, diperlukan waktu hingga 30 menit agar perubahan diterapkan dan diterapkan. Selama waktu ini, perimeter mungkin memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.
Di bagian atas halaman VPC Service Controls, klik Dry Run Mode.
Dalam daftar perimeter layanan, klik nama perimeter layanan yang ingin Anda terapkan.
Di halaman VPC Service Perimeter Detail, di bagian Dry run config, klik Enforce.
Saat Anda diminta untuk mengonfirmasi bahwa Anda ingin menimpa konfigurasi yang diterapkan saat ini, klik Enforce.
gcloud
Anda dapat menggunakan alat command line gcloud untuk menerapkan konfigurasi kering untuk setiap perimeter, serta untuk semua perimeter secara bersamaan.
Menerapkan satu konfigurasi uji coba
Untuk menerapkan konfigurasi uji coba untuk perimeter tunggal, gunakan
perintah dry-run enforce:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang ingin Anda dapatkan detailnya.
POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Menerapkan semua konfigurasi uji coba
Guna menerapkan konfigurasi uji coba untuk semua perimeter, gunakan
perintah dry-run enforce-all:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang ingin Anda dapatkan detailnya.
ETAG adalah string yang mewakili versi target kebijakan akses organisasi Anda. Jika Anda tidak menyertakan etag, operasi
enforce-allakan menargetkan versi terbaru kebijakan akses organisasi Anda.Untuk mendapatkan etag terbaru dari kebijakan akses Anda,
listkebijakan akses Anda.POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
API
Guna menerapkan konfigurasi uji coba untuk semua
perimeter Anda, panggil accessPolicies.servicePerimeters.commit.
Memperbarui konfigurasi uji coba
Saat memperbarui konfigurasi uji coba, Anda dapat mengubah daftar layanan, project, dan layanan yang dapat diakses VPC, di antara fitur perimeter lainnya.
Setelah Anda mengupdate perimeter layanan, diperlukan waktu hingga 30 menit agar perubahan diterapkan dan diterapkan. Selama waktu ini, perimeter mungkin memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.
Di bagian atas halaman VPC Service Controls, klik Dry Run Mode.
Dalam daftar perimeter layanan, klik nama perimeter layanan yang ingin diedit.
Di halaman VPC Service Perimeter Detail, di bagian Dry run config, klik Edit.
Di halaman Edit VPC Service Perimeter, buat perubahan pada konfigurasi uji coba untuk perimeter layanan.
Klik Simpan.
gcloud
Untuk menambahkan project baru ke perimeter, gunakan perintah dry-run update dan
tentukan resource yang akan ditambahkan:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang ingin Anda dapatkan detailnya.
RESOURCES adalah daftar yang dipisahkan koma yang berisi satu atau beberapa nomor project atau nama jaringan VPC. Misalnya:
projects/12345atau//compute.googleapis.com/projects/my-project/global/networks/vpc1. Hanya project dan jaringan VPC yang diizinkan. Format project:projects/<project_number>. Format VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah dry-run update dan tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang ingin Anda dapatkan detailnya.
SERVICES adalah daftar satu atau beberapa layanan yang dipisahkan koma. Misalnya:
storage.googleapis.comataustorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Mengidentifikasi permintaan yang diblokir
Setelah membuat konfigurasi uji coba, Anda dapat meninjau log untuk mengidentifikasi tempat konfigurasi uji coba akan menolak akses ke layanan jika diterapkan.
Konsol
Di menu navigasi Konsol Google Cloud, klik Logging, lalu klik Logs Explorer.
Di kolom Query, masukkan filter kueri seperti filter berikut, lalu klik Run query.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Lihat log di bagian Query results.
gcloud
Untuk melihat log menggunakan gcloud CLI, jalankan perintah seperti berikut:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'