Gestione delle configurazioni di prova

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive come gestire la configurazione dell'esecuzione di prova per i perimetri di servizio. Per informazioni sulla gestione generale dei perimetri di servizio, vedi Gestione dei perimetri di servizio.

Prima di iniziare

Applicazione di una configurazione di prova

Quando la configurazione di prova per un perimetro di servizio ti soddisfa, puoi applicarla. Quando viene applicata una configurazione di prova, questa sostituisce la configurazione attualmente applicata per un perimetro, se ne esiste una. Se non esiste una versione applicata del perimetro, la configurazione di prova viene utilizzata come configurazione iniziale applicata per il perimetro.

Dopo aver aggiornato un perimetro di servizio, la propagazione e l'applicazione delle modifiche potrebbero richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.

Console

  1. Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza, quindi fai clic su Controlli di servizio VPC.

    Vai alla pagina Controlli di servizio VPC

  2. Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova.

  3. Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio che vuoi applicare.

  4. Nella pagina Dettagli perimetro di servizio VPC, nella sezione Configurazione test di esecuzione, fai clic su Applica.

  5. Quando ti viene chiesto di confermare che vuoi sovrascrivere la configurazione applicata esistente, fai clic su Applica.

gcloud

Puoi utilizzare lo strumento a riga di comando gcloud per applicare la configurazione a secco a un singolo perimetro e a tutti i perimetri contemporaneamente.

Applicazione della configurazione di prova

Per applicare la configurazione di prova per un singolo perimetro, utilizza il comando dry-run enforce:

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

Dove:

  • PERIMETER_NAME è il nome del perimetro di servizio per cui vuoi ottenere i dettagli.

  • POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Applicazione forzata di tutte le configurazioni di prova

Per applicare la configurazione di prova per tutti i tuoi perimetri, utilizza il comando dry-run enforce-all:

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

Dove:

  • PERIMETER_NAME è il nome del perimetro di servizio per cui vuoi ottenere i dettagli.

  • ETAG è una stringa che rappresenta la versione di destinazione del criterio di accesso della tua organizzazione. Se non includi un'etichetta, l'operazione enforce-all avrà come target la versione più recente del criterio di accesso della tua organizzazione.

    Per ottenere l'ultimo tag di criteri di accesso, list fai riferimento ai criteri di accesso.

  • POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

API

Per applicare la configurazione di prova a tutti i perimetri, chiama accessPolicies.servicePerimeters.commit.

Aggiornamento di una configurazione di prova

Quando aggiorni una configurazione di prova, puoi modificare l'elenco di servizi, progetti e servizi accessibili da VPC, tra le altre funzionalità del perimetro.

Dopo aver aggiornato un perimetro di servizio, la propagazione e l'applicazione delle modifiche potrebbero richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.

Console

  1. Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza, quindi fai clic su Controlli di servizio VPC.

    Vai alla pagina Controlli di servizio VPC

  2. Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova.

  3. Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio che vuoi modificare.

  4. Nella pagina Dettagli perimetro di servizio VPC, nella sezione Configurazione test di prova, fai clic su Modifica.

  5. Nella pagina Modifica perimetro di servizio VPC, apporta le modifiche alla configurazione di prova per il perimetro di servizio.

  6. Fai clic su Salva.

gcloud

Per aggiungere nuovi progetti a un perimetro, utilizza il comando dry-run update e specifica le risorse da aggiungere:

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=PROJECTS \
  [--policy=POLICY_NAME]

Dove:

  • PERIMETER_NAME è il nome del perimetro di servizio per cui vuoi ottenere i dettagli.

  • PROJECTS è un elenco delimitato da virgole di uno o più ID progetto. Ad esempio: projects/100712 o projects/100712,projects/233130.

  • POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Per aggiornare l'elenco dei servizi limitati, utilizza il comando dry-run update e specifica i servizi da aggiungere come elenco delimitato da virgole:

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

Dove:

  • PERIMETER_NAME è il nome del perimetro di servizio per cui vuoi ottenere i dettagli.

  • SERVICES è un elenco delimitato da virgole di uno o più servizi. Ad esempio: storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.