Auf dieser Seite wird beschrieben, wie Sie Dienstperimeter in VPC Service Controls verwalten können. Weitere Informationen zum Erstellen neuer Dienstperimeter finden Sie unter Dienstperimeter erstellen.
Diese Seite enthält die folgenden Abschnitte:
Hinweis
Lesen Sie VPC Service Controls.
Lesen Sie Dienstperimeter konfigurieren.
Legen Sie Ihre Standardzugriffsrichtlinie fest, um das
gcloud-Befehlszeilentool zu verwenden.– oder –
Rufen Sie den Namen Ihrer Richtlinie ab. Der Richtlinienname ist für Befehle erforderlich, die das
gcloud-Befehlszeilentool verwenden und API-Aufrufe ausführen. Wenn Sie eine Standardzugriffsrichtlinie festlegen, müssen Sie die Richtlinie nicht für dasgcloud-Befehlszeilentool angeben.
Dienstperimeter auflisten und beschreiben
Alle Dienstperimeter einer Organisation auflisten:
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ansehen möchten.
gcloud
Zum Auflisten der Dienstperimeter Ihrer Organisation verwenden Sie den Befehl list:
gcloud access-context-manager perimeters list
Sie sollten eine Liste der Perimeter Ihrer Organisation sehen. Beispiel:
NAME TITLE ETAG ProdPerimeter Production Perimeter abcdefg123456789
Wenn Sie Details zu einem Dienstperimeter aufrufen möchten, können Sie den Befehl describe verwenden:
gcloud access-context-manager perimeters \
describe PERIMETER_ID
Ersetzen Sie die folgenden Variablen:
- PERIMETER_ID ist die ID des Dienstperimeters, zu dem Sie Details abrufen möchten.
Sie sollten die Details zum Perimeter sehen. Beispiel:
etag: abcdefg123456789 name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter status: accessLevels: - accessPolicies/626111171578/accessLevels/corpAccess resources: - projects/111584792408 restrictedServices: - bigquery.googleapis.com - storage.googleapis.com title: Production Perimeter
Dienstperimeter auflisten (formatiert)
Mit dem gcloud-Befehlszeilentool können Sie eine Liste Ihrer Dienstperimeter im YAML- oder JSON-Format abrufen.
Mit dem Befehl list können Sie eine formatierte Liste von Perimetern abrufen.
gcloud access-context-manager perimeters list \ --format=FORMAT
Ersetzen Sie die folgenden Variablen:
FORMAT ist einer der folgenden Werte:
list(YAML-Format)json(JSON-Format)
Die folgende Ausgabe ist eine Beispielliste im YAML-Format:
- etag: abcdefg123456789 name: accessPolicies/165717541651/servicePerimeters/On_Prem status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']} title: On Prem - etag: hijklmn987654321 name: accessPolicies/165717541651/servicePerimeters/Private spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']} status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']} title: Private useExplicitDryRunSpec: True - etag: pqrstuv123456789 name: accessPolicies/165717541651/servicePerimeters/OnpremBridge perimeterType: PERIMETER_TYPE_BRIDGE status: {'resources': ['projects/167410821371']} title: OnpremBridge
Die folgende Ausgabe ist eine Beispielliste im JSON-Format:
[ { "etag": "abcdefg123456789", "name": "accessPolicies/165717541651/servicePerimeters/On_Prem", "status": { "resources": [ "projects/167410821371" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com" ] }, "title": "On Prem" }, { "etag": "hijklmn987654321", "name": "accessPolicies/165717541651/servicePerimeters/Private", "spec": { "resources": [ "projects/136109111311" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com", "logging.googleapis.com" ] }, "status": { "resources": [ "projects/136109111311", "projects/401921913171" ], "restrictedServices": [ "bigquery.googleapis.com" ] }, "title": "Private", "useExplicitDryRunSpec": true }, { "etag": "pqrstuv123456789", "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge", "perimeterType": "PERIMETER_TYPE_BRIDGE", "status": { "resources": [ "projects/167410821371" ] }, "title": "OnpremBridge" } ]
Dienstperimeter aktualisieren
In diesem Abschnitt wird beschrieben, wie Sie einzelne Dienstperimeter aktualisieren können. Informationen zum Aktualisieren aller Dienstperimeter einer Organisation in einem Vorgang finden Sie unter Bulk-Änderungen an Dienstperimetern vornehmen.
Mit den folgenden Aufgaben können Sie einen Dienstperimeter aktualisieren:
- Neue Google Cloud -Projekte hinzufügen oder Projekte aus einem Dienstperimeter entfernen.
- Liste der eingeschränkten Google Cloud -Dienste ändern. Außerdem können Sie den Titel und die Beschreibung für einen Dienstperimeter ändern.
- Zugängliche VPC-Dienste aktivieren, hinzufügen, entfernen oder deaktivieren.
- Richtlinien für eingehenden und ausgehenden Traffic aktualisieren.
Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden. Während dieser Zeit kann der Perimeter Anfragen mit der folgenden Fehlermeldung blockieren: Error 403: Request is prohibited by organization's policy.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf der Seite Details von Dienstperimetern auf Bearbeiten.
Die Seite Dienstperimeter bearbeiten wird geöffnet und Sie können den Dienstperimeter aktualisieren.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl update und geben Sie die hinzuzufügenden Ressourcen an, um einem Perimeter neue Projekte hinzuzufügen:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-resources=RESOURCES
Ersetzen Sie die folgenden Variablen:
PERIMETER_ID ist die ID des Dienstperimeters, zu dem Sie Details abrufen möchten.
RESOURCES ist eine durch Kommas getrennte Liste mit einer oder mehreren Projektnummern oder VPC-Netzwerknamen. Beispiel:
projects/12345oder//compute.googleapis.com/projects/my-project/global/networks/vpc1. Es sind nur Projekte und VPC-Netzwerke zulässig. Projektformat:projects/project_number. VPC-Format://compute.googleapis.com/projects/project-id/global/networks/network_name.
Verwenden Sie zum Aktualisieren der Liste der eingeschränkten Dienste den Befehl update und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-restricted-services=SERVICES
Ersetzen Sie die folgenden Variablen:
PERIMETER_ID ist die ID des Dienstperimeters, zu dem Sie Details abrufen möchten.
SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel:
storage.googleapis.comoderstorage.googleapis.com,bigquery.googleapis.com.
Einem vorhandenen Perimeter eine Zugriffsebene hinzufügen
Nachdem Sie eine Zugriffsebene erstellt haben, können Sie sie auf einen Dienstperimeter anwenden, um den Zugriff zu steuern.
Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden. Während dieser Zeit kann der Perimeter Anfragen mit der folgenden Fehlermeldung blockieren: Error 403: Request is prohibited by organization's policy.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf der Seite Details von Dienstperimetern auf Bearbeiten.
Klicken Sie auf der Seite Dienstperimeter bearbeiten auf Zugriffsebenen.
Klicken Sie auf Zugriffsebenen hinzufügen.
Klicken Sie im Bereich Zugriffsebenen hinzufügen auf die Kästchen für die Zugriffsebenen, die Sie auf den Dienstperimeter anwenden möchten.
Klicken Sie auf Ausgewählte Zugriffsebenen hinzufügen.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl update, um einem vorhandenen Dienstperimeter eine Zugriffsebene hinzuzufügen:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-access-levels=LEVEL_NAME
Ersetzen Sie die folgenden Variablen:
PERIMETER_ID ist die ID des Dienstperimeters.
LEVEL_NAME ist der Name der Zugriffsebene, die Sie dem Dienstperimeter hinzufügen möchten.
Weitere Informationen zur Verwendung von Zugriffsebenen mit einem Perimeter finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.
Dienstperimeter löschen
Wenn Sie einen Dienstperimeter löschen, gelten die mit dem Perimeter verknüpften Sicherheitsfunktionen nicht mehr für die zugehörigen Google Cloud-Projekte. Für die betroffenen Google Cloud Projekte oder die zugehörigen Ressourcen entstehen keine anderen Auswirkungen.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie auf der Seite VPC Service Controls in der Tabellenzeile für den Perimeter, den Sie löschen möchten, auf .
gcloud
Verwenden Sie den Befehl delete, um einen Dienstperimeter zu löschen:
gcloud access-context-manager perimeters delete PERIMETER_ID
Ersetzen Sie die folgenden Variablen:
- PERIMETER_ID ist die ID des Dienstperimeters.
Zugriff auf Dienste in einem Perimeter mit zugänglichen VPC-Diensten beschränken
In diesem Abschnitt wird beschrieben, wie Sie zugängliche VPC-Dienste aktivieren, hinzufügen, entfernen und deaktivieren können.
Mit dem Feature für zugängliche VPC-Dienste können Sie das Set von Diensten einschränken, auf die von Netzwerkendpunkten innerhalb Ihres Dienstperimeters zugegriffen werden kann. Zugängliche VPC-Dienste lassen sich zu Dienstperimetern hinzufügen, aber nicht zu Perimeter-Bridges.
Weitere Informationen zur Funktion „zugängliche VPC-Dienste” finden Sie unter Zugängliche VPC-Dienste.
Zugängliche VPC-Dienste aktivieren
Verwenden Sie den Befehl update, um zugängliche VPC-Dienste für Ihren Dienstperimeter zu aktivieren:
gcloud access-context-manager perimeters update PERIMETER_ID \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=SERVICES
Ersetzen Sie die folgenden Variablen:
PERIMETER_ID ist die ID des Dienstperimeters.
SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten, für die Sie den Zugriff durch Netzwerke innerhalb des Perimeters zulassen möchten. Der Zugriff auf alle Dienste, die nicht in dieser Liste enthalten sind, wird verhindert.
Wenn Sie die durch den Perimeter geschützten Dienste schnell hinzufügen möchten, fügen Sie
RESTRICTED-SERVICESzur Liste für SERVICES hinzu. Sie können nebenRESTRICTED-SERVICESauch andere Dienste hinzufügen.
Wenn Sie beispielsweise dafür sorgen möchten, dass die VPC-Netzwerke in Ihrem Perimeter nur auf die Logging- und Cloud Storage-Dienste zugreifen können, verwenden Sie den folgenden Befehl:
gcloud access-context-manager perimeters update example_perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
--policy=11271009391
Dienst zu den zugänglichen VPC-Diensten hinzufügen
Verwenden Sie den Befehl update, um zusätzliche Dienste zu den zugänglichen VPC-Diensten für Ihren Perimeter hinzuzufügen:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-vpc-allowed-services=SERVICES
Ersetzen Sie die folgenden Variablen:
PERIMETER_ID ist die ID des Dienstperimeters.
SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten, für die Sie den Zugriff durch Netzwerke innerhalb des Perimeters zulassen möchten.
Wenn Sie die durch den Perimeter geschützten Dienste schnell hinzufügen möchten, fügen Sie
RESTRICTED-SERVICESzur Liste für SERVICES hinzu. Sie können nebenRESTRICTED-SERVICESauch separate Dienste hinzufügen.
Wenn Sie beispielsweise zugängliche VPC-Dienste aktivieren und dabei festlegen möchten, dass die VPC-Netzwerke in Ihrem Perimeter Zugriff auf den Pub/Sub-Dienst haben, verwenden Sie den folgenden Befehl:
gcloud access-context-manager perimeters update example_perimeter \
--add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
--policy=11271009391
Dienst aus zugänglichen VPC-Diensten entfernen
Verwenden Sie den Befehl update, um Dienste aus den zugänglichen VPC-Diensten für Ihren Dienstperimeter zu entfernen:
gcloud access-context-manager perimeters update PERIMETER_ID \
--remove-vpc-allowed-services=SERVICES
Ersetzen Sie die folgenden Variablen:
PERIMETER_ID ist die ID des Dienstperimeters.
SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten, die Sie aus der Liste der Dienste entfernen möchten, auf die Netzwerke innerhalb Ihres Dienstperimeters zugreifen dürfen.
Wenn Sie beispielsweise zugängliche VPC-Dienste aktivieren möchten und die VPC-Netzwerke in Ihrem Perimeter nicht mehr auf den Cloud Storage-Dienst zugreifen sollen, verwenden Sie den folgenden Befehl:
gcloud access-context-manager perimeters update example_perimeter \
--remove-vpc-allowed-services=storage.googleapis.com \
--policy=11271009391
Zugängliche VPC-Dienste deaktivieren
Verwenden Sie den Befehl update, um VPC-Dienstbeschränkungen für Ihren Dienstperimeter zu deaktivieren:
gcloud access-context-manager perimeters update PERIMETER_ID \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services
Ersetzen Sie die folgenden Variablen:
- PERIMETER_ID ist die ID des Dienstperimeters.
Beispielsweise können Sie mit dem folgenden Befehl VPC-Dienstbeschränkungen für example_perimeter deaktivieren:
gcloud access-context-manager perimeters update example_perimeter \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
--policy=11271009391
Zugängliche VPC-Dienste und die Access Context Manager API
Sie können zugängliche VPC-Dienste auch mit der Access Context Manager API verwalten.
Wenn Sie einen Dienstperimeter erstellen oder ändern, verwenden Sie das ServicePerimeterConfig-Objekt im Antworttext, um die zugänglichen VPC-Dienste zu konfigurieren.