In questa pagina viene descritto come gestire la configurazione di prova per i tuoi perimetri di servizio. Per informazioni sulla gestione dei perimetri di servizio in generale, consulta la sezione Gestire i perimetri di servizio.
Prima di iniziare
Leggi l'articolo Panoramica dei controlli di servizio VPC.
Leggi Modalità test di prova.
Imposta il criterio di accesso predefinito per utilizzare lo strumento a riga di comando
gcloud
.oppure
Assegna un nome alle norme. Il nome del criterio è obbligatorio per i comandi che utilizzano lo strumento a riga di comando
gcloud
ed effettuano chiamate API. Se imposti un criterio di accesso predefinito, non è necessario specificare il criterio per lo strumento a riga di comandogcloud
.
Applicazione di una configurazione di prova
Quando la configurazione di prova di un perimetro di servizio ti soddisfa, puoi applicarla. Quando viene applicata una configurazione di prova, sostituisce la configurazione applicata corrente per un perimetro, se esistente. Se non esiste una versione applicata del perimetro, come configurazione iniziale viene utilizzata la configurazione di prova.
Dopo aver aggiornato un perimetro di servizio, la propagazione delle modifiche e l'applicazione delle modifiche possono richiedere fino a 30 minuti.
Console
Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza e quindi su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova.
Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio da applicare.
Nella pagina Dettagli perimetro di servizio VPC, fai clic su Applica nella sezione Configurazione di prova.
Quando ti viene chiesto di confermare la sovrascrittura della configurazione esistente applicata, fai clic su Applica.
gcloud
Puoi utilizzare lo strumento a riga di comando gcloud
per applicare la configurazione di prova per un singolo perimetro, nonché per tutti i perimetri contemporaneamente.
Applicare una configurazione di prova
Per applicare la configurazione di prova a un singolo perimetro, utilizza il comando
dry-run enforce
:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per il quale vuoi ottenere dettagli.
POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Applica tutte le configurazioni di prova
Per applicare la configurazione di prova a tutti i tuoi perimetri, utilizza il comando
dry-run enforce-all
:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per il quale vuoi ottenere dettagli.
ETAG è una stringa che rappresenta la versione di destinazione del criterio di accesso della tua organizzazione. Se non includi un'etichetta, l'operazione
enforce-all
avrà come target l'ultima versione dei criteri di accesso della tua organizzazione.Per ottenere l'etichetta più recente dei tuoi criteri di accesso,
list
i tuoi criteri di accesso.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
API
Per applicare la configurazione di prova a tutti
i tuoi perimetri, chiama accessPolicies.servicePerimeters.commit
.
Aggiornamento di una configurazione di prova
Quando aggiorni una configurazione di prova, puoi modificare l'elenco di servizi, progetti e servizi accessibili da VPC, tra le altre funzionalità del perimetro.
Dopo aver aggiornato un perimetro di servizio, la propagazione delle modifiche e l'applicazione delle modifiche possono richiedere fino a 30 minuti.
Console
Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza e quindi su Controlli di servizio VPC.
Nella parte superiore della pagina Controlli di servizio VPC, fai clic su Modalità di prova.
Nell'elenco dei perimetri di servizio, fai clic sul nome del perimetro di servizio da modificare.
Nella pagina Dettagli perimetro di servizio VPC, fai clic su Modifica nella sezione Configurazione di prova.
Nella pagina Modifica perimetro di servizio VPC, apporta le modifiche alla configurazione di prova del perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere nuovi progetti a un perimetro, utilizza il comando dry-run update
e specifica le risorse da aggiungere:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=PROJECTS \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per il quale vuoi ottenere dettagli.
PROJECTS è un elenco delimitato da virgole di uno o più ID progetto. Ad esempio:
projects/100712
oprojects/100712,projects/233130
.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Per aggiornare l'elenco dei servizi limitati, utilizza il comando dry-run update
e specifica i servizi da aggiungere come elenco delimitato da virgole:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio per il quale vuoi ottenere dettagli.
SERVICES è un elenco di uno o più servizi delimitati da virgole. Ad esempio:
storage.googleapis.com
ostorage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.