Esta página descreve como pode gerir perímetros de serviço nos VPC Service Controls. Para ver detalhes sobre a criação de novos perímetros de serviço, consulte o artigo Criar perímetros de serviço.
Esta página inclui as seguintes secções:
Antes de começar
Leia o artigo Vista geral do VPC Service Controls.
Defina a sua política de acesso predefinida para usar a ferramenta de linha de comandos
gcloud.-or-
Obtenha o nome da sua política. O nome da política é obrigatório para comandos que usam a ferramenta de linha de comandos
gcloude fazem chamadas API. Se definir uma política de acesso predefinida, não precisa de especificar a política para a ferramenta de linha de comandosgcloud.
Indique e descreva os perímetros de serviço
Apresente todos os perímetros de serviço numa organização:
Consola
No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que quer ver.
gcloud
Para listar os perímetros de serviço da sua organização, use o comando list:
gcloud access-context-manager perimeters list
É apresentada uma lista dos perímetros da sua organização. Por exemplo:
NAME TITLE ETAG ProdPerimeter Production Perimeter abcdefg123456789
Para ver detalhes sobre um perímetro de serviço, use o comando describe:
gcloud access-context-manager perimeters \
describe PERIMETER_ID
Substitua o seguinte:
- PERIMETER_ID é o ID do perímetro de serviço sobre o qual quer obter detalhes.
Deve ver os detalhes sobre o perímetro. Por exemplo:
etag: abcdefg123456789 name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter status: accessLevels: - accessPolicies/626111171578/accessLevels/corpAccess resources: - projects/111584792408 restrictedServices: - bigquery.googleapis.com - storage.googleapis.com title: Production Perimeter
Indicar perímetros de serviço (formatados)
Com a ferramenta de linha de comandos gcloud, pode obter uma lista dos seus perímetros de serviço no formato YAML ou JSON.
Para obter uma lista formatada de perímetros, use o comando list:
gcloud access-context-manager perimeters list \ --format=FORMAT
Substitua o seguinte:
FORMAT é um dos seguintes valores:
list(formato YAML)json(formato JSON)
A saída seguinte é uma lista de exemplo no formato YAML:
- etag: abcdefg123456789 name: accessPolicies/165717541651/servicePerimeters/On_Prem status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']} title: On Prem - etag: hijklmn987654321 name: accessPolicies/165717541651/servicePerimeters/Private spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']} status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']} title: Private useExplicitDryRunSpec: True - etag: pqrstuv123456789 name: accessPolicies/165717541651/servicePerimeters/OnpremBridge perimeterType: PERIMETER_TYPE_BRIDGE status: {'resources': ['projects/167410821371']} title: OnpremBridge
A saída seguinte é uma lista de exemplo no formato JSON:
[ { "etag": "abcdefg123456789", "name": "accessPolicies/165717541651/servicePerimeters/On_Prem", "status": { "resources": [ "projects/167410821371" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com" ] }, "title": "On Prem" }, { "etag": "hijklmn987654321", "name": "accessPolicies/165717541651/servicePerimeters/Private", "spec": { "resources": [ "projects/136109111311" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com", "logging.googleapis.com" ] }, "status": { "resources": [ "projects/136109111311", "projects/401921913171" ], "restrictedServices": [ "bigquery.googleapis.com" ] }, "title": "Private", "useExplicitDryRunSpec": true }, { "etag": "pqrstuv123456789", "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge", "perimeterType": "PERIMETER_TYPE_BRIDGE", "status": { "resources": [ "projects/167410821371" ] }, "title": "OnpremBridge" } ]
Atualize um perímetro de serviço
Esta secção descreve como atualizar perímetros de serviço individuais. Para atualizar todos os perímetros de serviço da sua organização numa única operação, consulte o artigo Fazer alterações em massa aos perímetros de serviço.
Pode realizar as seguintes tarefas para atualizar um perímetro de serviço:
- Adicione novos Google Cloud projetos ou remova projetos de um perímetro de serviço.
- Altere a lista de serviços Google Cloud restritos. Também pode alterar o título e a descrição de um perímetro de serviço.
- Ative, adicione, remova ou desative serviços acessíveis através da VPC.
- Atualize as políticas de entrada e saída.
Depois de atualizar um perímetro de serviço, a propagação e a aplicação das alterações podem demorar até 30 minutos. Durante este período, o perímetro pode bloquear pedidos com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.
Consola
No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.
Na página Controlos de serviço da VPC, na tabela, clique no nome do perímetro de serviço que quer modificar.
Na página Detalhes do perímetro de serviço, clique em Editar.
Na página Editar perímetro de serviço, atualize o perímetro de serviço.
Clique em Guardar.
gcloud
Para adicionar novos recursos a um perímetro, use o comando update e especifique os recursos a adicionar:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-resources=RESOURCES
Substitua o seguinte:
PERIMETER_ID é o ID do perímetro de serviço sobre o qual quer obter detalhes.
RESOURCES é uma lista separada por vírgulas de um ou mais números de projetos ou nomes de redes VPC. Por exemplo:
projects/12345ou//compute.googleapis.com/projects/my-project/global/networks/vpc1. Apenas são permitidos projetos e redes de VPC. Formato do projeto:projects/project_number. Formato de VPC://compute.googleapis.com/projects/project-id/global/networks/network_name.
Para atualizar a lista de serviços restritos, use o comando update e especifique os serviços a adicionar como uma lista delimitada por vírgulas:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-restricted-services=SERVICES
Substitua o seguinte:
PERIMETER_ID é o ID do perímetro de serviço sobre o qual quer obter detalhes.
SERVICES é uma lista delimitada por vírgulas de um ou mais serviços. Por exemplo:
storage.googleapis.comoustorage.googleapis.com,bigquery.googleapis.com.
Adicione um nível de acesso a um perímetro existente
Depois de criar um nível de acesso, pode aplicá-lo a um perímetro de serviço para controlar o acesso.
Depois de atualizar um perímetro de serviço, a propagação e a aplicação das alterações podem demorar até 30 minutos. Durante este período, o perímetro pode bloquear pedidos com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.
Consola
No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.
Na página Controlos de serviço da VPC, na tabela, clique no nome do perímetro de serviço que quer modificar.
Na página Detalhes do perímetro de serviço, clique em Editar.
Na página Editar perímetro de serviço, clique em Níveis de acesso.
Clique em Adicionar níveis de acesso.
No painel Adicionar níveis de acesso, selecione as caixas de verificação correspondentes aos níveis de acesso que quer aplicar ao perímetro de serviço.
Clique em Adicionar níveis de acesso selecionados.
Clique em Guardar.
gcloud
Para adicionar um nível de acesso a um perímetro de serviço existente, use o comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-access-levels=LEVEL_NAME
Substitua o seguinte:
PERIMETER_ID é o ID do seu perímetro de serviço.
LEVEL_NAME é o nome do nível de acesso que quer adicionar ao perímetro.
Para mais informações sobre a utilização de níveis de acesso com um perímetro, consulte o artigo Permita o acesso a recursos protegidos a partir do exterior de um perímetro.
Elimine um perímetro de serviço
Quando elimina um perímetro de serviço, os controlos de segurança associados ao perímetro deixam de se aplicar aos projetos Google Cloudassociados. Não existe outro impacto nos projetos do membro Google Cloud nem nos recursos associados.
Consola
No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.
Na página VPC Service Controls, na linha da tabela correspondente ao perímetro que quer eliminar, clique em .
gcloud
Para eliminar um perímetro de serviço, use o comando delete:
gcloud access-context-manager perimeters delete PERIMETER_ID
Substitua o seguinte:
- PERIMETER_ID é o ID do seu perímetro de serviço.
Limite o acesso a serviços dentro de um perímetro com serviços acessíveis por VPC
Esta secção descreve como ativar, adicionar, remover e desativar serviços acessíveis através da VPC.
Pode usar a funcionalidade de serviços acessíveis à VPC para limitar o conjunto de serviços acessíveis a partir de pontos finais de rede no interior do seu perímetro de serviço. Pode adicionar serviços acessíveis por VPC a perímetros de serviço, mas não a pontes de perímetros.
Para saber mais acerca da funcionalidade de serviços acessíveis da VPC, leia o artigo sobre os serviços acessíveis da VPC.
Ative os serviços acessíveis da VPC
Para ativar os serviços acessíveis por VPC para o seu perímetro de serviço, use o comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=SERVICES
Substitua o seguinte:
PERIMETER_ID é o ID do seu perímetro de serviço.
SERVICES é uma lista separada por vírgulas de um ou mais serviços que quer permitir que as redes no interior do seu perímetro acedam. O acesso a todos os serviços não incluídos nesta lista é impedido.
Para incluir rapidamente os serviços protegidos pelo perímetro, adicione
RESTRICTED-SERVICESà lista para SERVICES. Pode incluir outros serviços além deRESTRICTED-SERVICES.
Por exemplo, para garantir que as redes VPC no seu perímetro só têm acesso aos serviços de registo e Cloud Storage, use o seguinte comando:
gcloud access-context-manager perimeters update example_perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
--policy=11271009391
Adicione um serviço aos serviços acessíveis da VPC
Para adicionar serviços adicionais aos serviços acessíveis da VPC para o seu perímetro, use o comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-vpc-allowed-services=SERVICES
Substitua o seguinte:
PERIMETER_ID é o ID do seu perímetro de serviço.
SERVICES é uma lista separada por vírgulas de um ou mais serviços que quer permitir que as redes no interior do seu perímetro acedam.
Para incluir rapidamente os serviços protegidos pelo perímetro, adicione
RESTRICTED-SERVICESà lista para SERVICES. Pode incluir serviços separados, além deRESTRICTED-SERVICES.
Por exemplo, se ativar os serviços acessíveis por VPC e exigir que as redes VPC no seu perímetro tenham acesso ao serviço Pub/Sub, use o seguinte comando:
gcloud access-context-manager perimeters update example_perimeter \
--add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
--policy=11271009391
Remova um serviço dos serviços acessíveis da VPC
Para remover serviços dos serviços acessíveis da VPC para o seu perímetro de serviço,
use o comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--remove-vpc-allowed-services=SERVICES
Substitua o seguinte:
PERIMETER_ID é o ID do seu perímetro de serviço.
SERVICES é uma lista separada por vírgulas de um ou mais serviços que quer remover da lista de serviços aos quais as redes no interior do seu perímetro de serviço têm permissão de acesso.
Por exemplo, se ativar os serviços acessíveis por VPC e já não quiser que as redes VPC no seu perímetro tenham acesso ao serviço Cloud Storage, use o seguinte comando:
gcloud access-context-manager perimeters update example_perimeter \
--remove-vpc-allowed-services=storage.googleapis.com \
--policy=11271009391
Desative os serviços acessíveis da VPC
Para desativar as restrições de serviço da VPC para o seu perímetro de serviço, use o comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services
Substitua o seguinte:
- PERIMETER_ID é o ID do seu perímetro de serviço.
Por exemplo, para desativar as restrições de serviço da VPC para example_perimeter, use o seguinte comando:
gcloud access-context-manager perimeters update example_perimeter \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
--policy=11271009391
Serviços acessíveis à VPC e API Access Context Manager
Também pode usar a API Access Context Manager para gerir os serviços acessíveis da VPC.
Quando cria ou modifica um perímetro de serviço, use o objeto ServicePerimeterConfig no corpo da resposta para configurar os serviços acessíveis da VPC.