Perímetros de serviço gerenciado

Esta página descreve como gerenciar os perímetros de serviço no VPC Service Controls. Consulte os detalhes sobre a criação de novos perímetros de serviço em Como criar perímetros de serviço.

Esta página inclui as seguintes seções:

Antes de começar

Listar e descrever perímetros de serviço

Liste todos os perímetros de serviço em uma organização:

Console

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar a página "VPC Service Controls"

  2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer visualizar.

gcloud

Para listar os perímetros de serviço da sua organização, use o comando list:

gcloud access-context-manager perimeters list

Você deve ver uma lista dos perímetros de sua organização. Por exemplo:

NAME           TITLE                 ETAG
ProdPerimeter  Production Perimeter  abcdefg123456789

Para conferir detalhes sobre um perímetro de serviço, use o comando describe:

gcloud access-context-manager perimeters \
  describe PERIMETER_ID

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço com os detalhes que você quer conhecer.

Você deve ver os detalhes sobre o perímetro. Por exemplo:

etag: abcdefg123456789
name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter
status:
  accessLevels:
  - accessPolicies/626111171578/accessLevels/corpAccess
  resources:
  - projects/111584792408
  restrictedServices:
  - bigquery.googleapis.com
  - storage.googleapis.com
title: Production Perimeter

Listar perímetros de serviço (formatados)

A ferramenta de linha de comando gcloud permite conseguir uma lista dos perímetros de serviço nos formatos YAML ou JSON.

Para conferir uma lista formatada de perímetros, use o comando list:

gcloud access-context-manager perimeters list \
  --format=FORMAT

Substitua:

  • FORMAT é um dos seguintes valores:

    • list (formato YAML)

    • json (formato JSON)

A saída a seguir é uma lista de exemplo no formato YAML:

- etag: abcdefg123456789
  name: accessPolicies/165717541651/servicePerimeters/On_Prem
  status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']}
  title: On Prem
- etag: hijklmn987654321
  name: accessPolicies/165717541651/servicePerimeters/Private
  spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']}
  status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']}
  title: Private
  useExplicitDryRunSpec: True
- etag: pqrstuv123456789
  name: accessPolicies/165717541651/servicePerimeters/OnpremBridge
  perimeterType: PERIMETER_TYPE_BRIDGE
  status: {'resources': ['projects/167410821371']}
  title: OnpremBridge

A saída a seguir é uma lista de exemplo no formato JSON:

[
  {
    "etag": "abcdefg123456789",
    "name": "accessPolicies/165717541651/servicePerimeters/On_Prem",
    "status": {
      "resources": [
        "projects/167410821371"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com"
      ]
    },
    "title": "On Prem"
  },
  {
    "etag": "hijklmn987654321",
    "name": "accessPolicies/165717541651/servicePerimeters/Private",
    "spec": {
      "resources": [
        "projects/136109111311"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com",
        "logging.googleapis.com"
      ]
    },
    "status": {
      "resources": [
        "projects/136109111311",
        "projects/401921913171"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com"
      ]
    },
    "title": "Private",
    "useExplicitDryRunSpec": true
  },
  {
    "etag": "pqrstuv123456789",
    "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge",
    "perimeterType": "PERIMETER_TYPE_BRIDGE",
    "status": {
      "resources": [
        "projects/167410821371"
      ]
    },
    "title": "OnpremBridge"
  }
]

Atualizar um perímetro de serviço

Nesta seção, descrevemos como atualizar os perímetros de serviço individuais. Para atualizar todos os perímetros de serviço da sua organização em uma operação, consulte Como fazer alterações em massa nos perímetros de serviço.

Execute as tarefas a seguir para atualizar um perímetro de serviço:

Depois de atualizar um perímetro de serviço, pode levar até 30 minutos para que as alterações sejam propagadas e entrem em vigor. Durante esse período, o perímetro pode bloquear solicitações com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.

Console

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar a página "VPC Service Controls"

  2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.

  3. Na página Editar perímetro de serviço da VPC, atualize o perímetro de serviço.

  4. Clique em Salvar.

gcloud

Para adicionar novos recursos a um perímetro, use o comando update e especifique os recursos a serem adicionados:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-resources=RESOURCES

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço com os detalhes que você quer conhecer.

  • RESOURCES é uma lista separada por vírgulas de um ou mais números de projeto ou nomes de rede VPC. Por exemplo, projects/12345 ou //compute.googleapis.com/projects/my-project/global/networks/vpc1. Somente projetos e redes VPC são permitidos. Formato do projeto: projects/project_number. Formato VPC: //compute.googleapis.com/projects/project-id/global/networks/network_name.

Para atualizar a lista de serviços restritos, use o comando update e especifique os serviços a serem adicionados como uma lista delimitada por vírgulas:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-restricted-services=SERVICES

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço com os detalhes que você quer conhecer.

  • SERVICES é uma lista delimitada por vírgulas de um ou mais serviços. Por exemplo, storage.googleapis.com ou storage.googleapis.com,bigquery.googleapis.com.

Adicionar um nível de acesso a um perímetro

Depois de criar um nível de acesso, será possível aplicá-lo a um perímetro de serviço para controlar o acesso.

Depois de atualizar um perímetro de serviço, pode levar até 30 minutos para que as alterações sejam propagadas e entrem em vigor. Durante esse período, o perímetro pode bloquear solicitações com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.

Console

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar a página "VPC Service Controls"

  2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.

  3. Na página Editar perímetro de serviço da VPC, clique na caixa Escolher nível de acesso.

  4. Marque as caixas de seleção correspondentes aos níveis de acesso que você quer aplicar ao perímetro de serviço.

  5. Clique em Salvar.

gcloud

Para adicionar um nível de acesso a um perímetro de serviço atual, use o comando update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-access-levels=LEVEL_NAME

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço.

  • LEVEL_NAME é o nome do nível de acesso que você quer adicionar ao perímetro.

Para mais informações sobre o uso de níveis de acesso com um perímetro, consulte Permitir o acesso a recursos protegidos de fora de um perímetro.

Excluir um perímetro de serviço

Quando você exclui um perímetro de serviço, os controles de segurança associados ao perímetro não se aplicam mais aos projetos associados do Google Cloud. Não há outro impacto nos projetos membros do Google Cloud ou nos recursos associados.

Console

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar a página "VPC Service Controls"

  2. Na página VPC Service Controls, na linha da tabela correspondente ao perímetro que você quer excluir, clique em .

gcloud

Para excluir um perímetro de serviço, use o comando delete:

gcloud access-context-manager perimeters delete PERIMETER_ID

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço.

Limitar o acesso a serviços dentro de um perímetro com serviços acessíveis por VPC

Nesta seção, descrevemos como ativar, adicionar, remover e desativar serviços acessíveis de VPC.

É possível usar o recurso de serviços acessíveis de VPC para limitar o conjunto de serviços acessíveis de endpoints de rede dentro do perímetro de serviço. É possível adicionar serviços acessíveis por VPC a perímetros de serviço, mas não a pontes do perímetro.

Para saber mais sobre o recurso de serviços acessíveis de VPC, leia sobre serviços acessíveis de VPC.

Ativar serviços acessíveis por VPC

Para ativar serviços acessíveis por VPC para o perímetro de serviço, use o comando update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=SERVICES

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço.

  • SERVICES é uma lista separada por vírgulas de um ou mais serviços com uma permissão de acesso que você quer conceder às redes que estão dentro do perímetro. O acesso a qualquer serviço não incluído nessa lista está impedido.

    Para incluir rapidamente os serviços protegidos pelo perímetro, adicione RESTRICTED-SERVICES à lista de SERVICES. É possível incluir outros serviços além de RESTRICTED-SERVICES.

Por exemplo, para garantir que as redes VPC no perímetro tenham acesso apenas aos serviços do Logging e do Cloud Storage, use o seguinte comando:

gcloud access-context-manager perimeters update example_perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
  --policy=11271009391

Adicionar um serviço aos serviços acessíveis por VPC

Para adicionar outros serviços aos serviços acessíveis por VPC do seu perímetro, use o comando update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-vpc-allowed-services=SERVICES

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço.

  • SERVICES é uma lista separada por vírgulas de um ou mais serviços com uma permissão de acesso que você quer conceder às redes que estão dentro do perímetro.

    Para incluir rapidamente os serviços protegidos pelo perímetro, adicione RESTRICTED-SERVICES à lista de SERVICES. É possível incluir serviços separados, além de RESTRICTED-SERVICES.

Por exemplo, se você ativar os serviços acessíveis por VPC e exigir que as redes VPC no perímetro tenham acesso ao serviço Pub/Sub, use o seguinte comando:

gcloud access-context-manager perimeters update example_perimeter \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
  --policy=11271009391

Remover um serviço dos serviços acessíveis por VPC

Para remover serviços dos serviços acessíveis por VPC para seu perímetro de serviço, use o comando update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --remove-vpc-allowed-services=SERVICES

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço.

  • SERVICES é uma lista separada por vírgulas de um ou mais serviços que você quer remover da lista de serviços que as redes dentro do seu perímetro de serviço têm permissão de acesso.

Por exemplo, se você ativar os serviços acessíveis por VPC e não quiser mais que as redes VPC no seu perímetro tenham acesso ao serviço Cloud Storage, use o seguinte comando:

gcloud access-context-manager perimeters update example_perimeter \
  --remove-vpc-allowed-services=storage.googleapis.com \
  --policy=11271009391

Desativar serviços acessíveis por VPC

Para desativar as restrições de serviço da VPC para o perímetro de serviço, use o comando update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services

Substitua:

  • PERIMETER_ID é o ID do perímetro de serviço.

Por exemplo, para desativar as restrições de serviço da VPC para example_perimeter, use o seguinte comando:

gcloud access-context-manager perimeters update example_perimeter \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services \
  --policy=11271009391

Serviços acessíveis por VPC e a API Access Context Manager

Também é possível usar a API Access Context Manager para gerenciar serviços acessíveis por VPC. Ao criar ou modificar um perímetro de serviço, use o objeto ServicePerimeterConfig no corpo da resposta para configurar os serviços acessíveis por VPC.