In questa pagina viene descritto come gestire la configurazione di prova per i perimetri di servizio. Per informazioni sulla gestione dei perimetri di servizio in generale, consulta la pagina Gestire i perimetri di servizio.
Prima di iniziare
Leggi l'articolo Modalità di prova
Imposta il criterio di accesso predefinito per l'utilizzo dello strumento a riga di comando
gcloud
.-oppure-
Assegna un nome alla norma. Il nome del criterio è obbligatorio per i comandi che utilizzano lo strumento a riga di comando
gcloud
ed effettuano chiamate API. Se imposti un criterio di accesso predefinito, non è necessario specificare il criterio per lo strumento a riga di comandogcloud
.
Implementazione di una configurazione di prova
Quando ritieni che la configurazione di prova per un perimetro di servizio sia di tuo gradimento, puoi applicarla. Quando viene applicata una configurazione di prova, sostituisce la configurazione applicata corrente per un perimetro, se esistente. Se non esiste una versione applicata del perimetro, la configurazione di prova viene utilizzata come configurazione iniziale applicata per il perimetro.
Dopo aver aggiornato un perimetro di servizio, la propagazione e l'applicazione delle modifiche potrebbero richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova.
Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio che vuoi applicare.
Nella pagina Dettagli perimetro di servizio VPC, nella sezione Configurazione di prova, fai clic su Applica.
Quando ti viene chiesto di confermare che vuoi sovrascrivere la configurazione applicata esistente, fai clic su Applica.
gcloud
Puoi utilizzare lo strumento a riga di comando gcloud
per applicare la configurazione a secco per un singolo perimetro e per tutti i perimetri contemporaneamente.
Applica una configurazione di prova
Per applicare la configurazione di prova a un singolo perimetro, utilizza il comando dry-run enforce
:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per cui vuoi ottenere i dettagli.
POLICY_NAME è il nome dei criteri di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Applica tutte le configurazioni di prova
Per applicare la configurazione di prova a tutti i perimetri, utilizza il comando dry-run enforce-all
:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per cui vuoi ottenere i dettagli.
ETAG è una stringa che rappresenta la versione di destinazione del criterio di accesso della tua organizzazione. Se non includi un'etichetta, l'operazione
enforce-all
ha come target l'ultima versione del criterio di accesso della tua organizzazione.Per ottenere l'etichetta più recente del criterio di accesso,
list
i criteri di accesso.POLICY_NAME è il nome dei criteri di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
API
Per applicare la configurazione della modalità di prova per tutti i perimetri, chiama accessPolicies.servicePerimeters.commit
.
Aggiornamento di una configurazione di prova
Quando aggiorni una configurazione di prova, puoi modificare l'elenco di servizi, progetti e servizi accessibili da VPC, tra le altre caratteristiche del perimetro.
Dopo aver aggiornato un perimetro di servizio, la propagazione e l'applicazione delle modifiche potrebbero richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova.
Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio che vuoi modificare.
Nella pagina Dry Service Config (Dettagli perimetro di servizio VPC), fai clic su Edit (Modifica) nella sezione Dry run config (Configurazione di prova).
Nella pagina Modifica perimetro di servizio VPC, modifica la configurazione di prova per il perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere nuovi progetti a un perimetro, utilizza il comando dry-run update
e specifica le risorse da aggiungere:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per cui vuoi ottenere i dettagli.
RESOURCES è un elenco separato da virgole di uno o più numeri di progetto o nomi di rete VPC. Ad esempio:
projects/12345
o//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Sono consentiti solo progetti e reti VPC. Formato progetto:projects/<project_number>
. Formato VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>
.POLICY_NAME è il nome dei criteri di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Per aggiornare l'elenco dei servizi limitati, utilizza il comando dry-run update
e specifica i servizi da aggiungere come elenco delimitato da virgole:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per cui vuoi ottenere i dettagli.
SERVICES è un elenco delimitato da virgole di uno o più servizi. Ad esempio:
storage.googleapis.com
ostorage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME è il nome dei criteri di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Identificazione delle richieste bloccate
Dopo aver creato una configurazione di prova, puoi esaminare i log per identificare dove la configurazione di prova non può accedere ai servizi, se applicata.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Logging e poi su Esplora log.
Nel campo Query, inserisci un filtro di query come il seguente filtro e fai clic su Esegui query.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
Visualizza i log nella sezione Risultati delle query.
gcloud
Per visualizzare i log utilizzando gcloud CLI, esegui questo comando:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'