Questa pagina descrive come gestire la configurazione di prova per i perimetri di servizio. Per informazioni sulla gestione dei perimetri di servizio in generale, vedi Gestione dei perimetri di servizio.
Prima di iniziare
Leggi la panoramica dei Controlli di servizio VPC.
Leggi la sezione Modalità di prova.
Imposta il criterio di accesso predefinito per l'utilizzo dello strumento a riga di comando
gcloud.-oppure-
Recuperare il nome della norma. Il nome del criterio è obbligatorio per i comandi che utilizzano lo strumento a riga di comando
gcloude per effettuare chiamate API. Se imposti un criterio di accesso predefinito, non è necessario specificare il criterio per lo strumento a riga di comandogcloud.
Applicazione di una configurazione di prova
Quando la configurazione di prova per un perimetro di servizio ti soddisfa, puoi applicare tale configurazione. Quando viene applicata, una configurazione di prova sostituisce l'attuale configurazione applicata per un perimetro, se esistente. Se non esiste una versione applicata del perimetro, viene utilizzata la configurazione di prova come configurazione iniziale applicata per il perimetro.
Dopo l'aggiornamento di un perimetro di servizio, potrebbe essere necessario attendere fino a 30 minuti prima che le modifiche vengano propagate e applicate. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova.
Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio che vuoi applicare.
Nella pagina Dettagli del perimetro di servizio VPC, nella sezione Configurazione di prova, fai clic su Applica.
Quando ti viene chiesto di confermare se vuoi sovrascrivere la configurazione applicata esistente, fai clic su Applica.
gcloud
Puoi utilizzare lo strumento a riga di comando gcloud per applicare la configurazione di prova per un singolo perimetro
e contemporaneamente per tutti i perimetri.
Applica una configurazione di prova
Per applicare la configurazione di prova per un singolo perimetro, utilizza il comando dry-run enforce:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per il quale vuoi ottenere dettagli.
POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Applicazione di tutte le configurazioni di prova
Per applicare la configurazione di prova per tutti i perimetri, utilizza il comando dry-run enforce-all:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per il quale vuoi ottenere dettagli.
ETAG è una stringa che rappresenta la versione di destinazione del criterio di accesso della tua organizzazione. Se non includi un tag, l'operazione
enforce-allha come target la versione più recente del criterio di accesso della tua organizzazione.Per ottenere l'tag più recente del tuo criterio di accesso,
listi tuoi criteri di accesso.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
API
Per applicare la configurazione di prova per tutti i perimetri, chiama accessPolicies.servicePerimeters.commit.
Aggiornamento di una configurazione di prova
Quando aggiorni una configurazione di prova, puoi modificare l'elenco di servizi, progetti e servizi accessibili da VPC, tra le altre funzionalità del perimetro.
Dopo l'aggiornamento di un perimetro di servizio, potrebbe essere necessario attendere fino a 30 minuti prima che le modifiche vengano propagate e applicate. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova.
Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio da modificare.
Nella pagina Dettagli del perimetro di servizio VPC, nella sezione Configurazione di prova, fai clic su Modifica.
Nella pagina Modifica perimetro di servizio VPC, apporta modifiche alla configurazione di prova per il perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere nuovi progetti a un perimetro, utilizza il comando dry-run update e specifica le risorse da aggiungere:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per il quale vuoi ottenere dettagli.
RESOURCES è un elenco separato da virgole di uno o più numeri di progetto o nomi di rete VPC. Ad esempio:
projects/12345o//compute.googleapis.com/projects/my-project/global/networks/vpc1. Sono consentiti solo progetti e reti VPC. Formato del progetto:projects/<project_number>. Formato VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Per aggiornare l'elenco dei servizi con restrizioni, utilizza il comando dry-run update e specifica i servizi da aggiungere sotto forma di elenco delimitato da virgole:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per il quale vuoi ottenere dettagli.
SERVICES è un elenco delimitato da virgole di uno o più servizi. Ad esempio:
storage.googleapis.comostorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Identificare le richieste bloccate
Dopo aver creato una configurazione di prova, puoi esaminare i log per identificare dove, se applicata, la configurazione di prova negherebbe l'accesso ai servizi.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Logging e poi su Esplora log.
Nel campo Query, inserisci un filtro di query come il seguente filtro e fai clic su Esegui query.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Visualizza i log in Risultati query.
gcloud
Per visualizzare i log utilizzando gcloud CLI, esegui un comando come questo:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'