Esta página descreve como gerenciar os perímetros de serviço no VPC Service Controls. Consulte os detalhes sobre a criação de novos perímetros de serviço em Como criar perímetros de serviço.
Esta página inclui as seguintes seções:
Antes de começar
Defina sua política de acesso padrão para usar a ferramenta de linha de comando
gcloud
.-ou-
Consiga o nome da política. O nome da política é necessário para comandos que usam a ferramenta de linha de comando
gcloud
e fazem chamadas de API. Se você definir uma política de acesso padrão, não será necessário especificá-la para a ferramenta de linha de comandogcloud
.
Listar e descrever perímetros de serviço
Liste todos os perímetros de serviço em uma organização:
Console
No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer visualizar.
gcloud
Para listar os perímetros de serviço da sua organização, use o comando list
:
gcloud access-context-manager perimeters list
Você deve ver uma lista dos perímetros de sua organização. Por exemplo:
NAME TITLE ETAG ProdPerimeter Production Perimeter abcdefg123456789
Para conferir detalhes sobre um perímetro de serviço, use o comando describe
:
gcloud access-context-manager perimeters \
describe PERIMETER_ID
Substitua:
- PERIMETER_ID é o ID do perímetro de serviço com os detalhes que você quer conhecer.
Você deve ver os detalhes sobre o perímetro. Por exemplo:
etag: abcdefg123456789 name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter status: accessLevels: - accessPolicies/626111171578/accessLevels/corpAccess resources: - projects/111584792408 restrictedServices: - bigquery.googleapis.com - storage.googleapis.com title: Production Perimeter
Listar perímetros de serviço (formatados)
A ferramenta de linha de comando gcloud
permite conseguir uma lista dos perímetros de serviço nos formatos YAML
ou JSON.
Para conferir uma lista formatada de perímetros, use o comando list
:
gcloud access-context-manager perimeters list \ --format=FORMAT
Substitua:
FORMAT é um dos seguintes valores:
list
(formato YAML)json
(formato JSON)
A saída a seguir é uma lista de exemplo no formato YAML:
- etag: abcdefg123456789 name: accessPolicies/165717541651/servicePerimeters/On_Prem status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']} title: On Prem - etag: hijklmn987654321 name: accessPolicies/165717541651/servicePerimeters/Private spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']} status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']} title: Private useExplicitDryRunSpec: True - etag: pqrstuv123456789 name: accessPolicies/165717541651/servicePerimeters/OnpremBridge perimeterType: PERIMETER_TYPE_BRIDGE status: {'resources': ['projects/167410821371']} title: OnpremBridge
A saída a seguir é uma lista de exemplo no formato JSON:
[ { "etag": "abcdefg123456789", "name": "accessPolicies/165717541651/servicePerimeters/On_Prem", "status": { "resources": [ "projects/167410821371" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com" ] }, "title": "On Prem" }, { "etag": "hijklmn987654321", "name": "accessPolicies/165717541651/servicePerimeters/Private", "spec": { "resources": [ "projects/136109111311" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com", "logging.googleapis.com" ] }, "status": { "resources": [ "projects/136109111311", "projects/401921913171" ], "restrictedServices": [ "bigquery.googleapis.com" ] }, "title": "Private", "useExplicitDryRunSpec": true }, { "etag": "pqrstuv123456789", "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge", "perimeterType": "PERIMETER_TYPE_BRIDGE", "status": { "resources": [ "projects/167410821371" ] }, "title": "OnpremBridge" } ]
Atualizar um perímetro de serviço
Nesta seção, descrevemos como atualizar os perímetros de serviço individuais. Para atualizar todos os perímetros de serviço da sua organização em uma operação, consulte Como fazer alterações em massa nos perímetros de serviço.
Execute as tarefas a seguir para atualizar um perímetro de serviço:
- Adicione novos projetos do Google Cloud ou remova projetos de um perímetro de serviço.
- Alterar a lista de serviços restritos do Google Cloud. Também é possível alterar o Título e a Descrição de um perímetro de serviço.
- Ativar, adicionar, remover ou desativar serviços acessíveis por VPC.
- Atualize as políticas de entrada e saída.
Depois de atualizar um perímetro de serviço, pode levar até 30 minutos para que as
alterações sejam propagadas e entrem em vigor. Durante esse período, o perímetro pode bloquear
solicitações com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.
Console
No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Na página Editar perímetro de serviço da VPC, atualize o perímetro de serviço.
Clique em Salvar.
gcloud
Para adicionar novos recursos a um perímetro, use o comando update
e especifique os
recursos a serem adicionados:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-resources=RESOURCES
Substitua:
PERIMETER_ID é o ID do perímetro de serviço com os detalhes que você quer conhecer.
RESOURCES é uma lista separada por vírgulas de um ou mais números de projeto ou nomes de rede VPC. Por exemplo,
projects/12345
ou//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Somente projetos e redes VPC são permitidos. Formato do projeto:projects/project_number
. Formato VPC://compute.googleapis.com/projects/project-id/global/networks/network_name
.
Para atualizar a lista de serviços restritos, use o comando update
e
especifique os serviços a serem adicionados como uma lista delimitada por vírgulas:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-restricted-services=SERVICES
Substitua:
PERIMETER_ID é o ID do perímetro de serviço com os detalhes que você quer conhecer.
SERVICES é uma lista delimitada por vírgulas de um ou mais serviços. Por exemplo,
storage.googleapis.com
oustorage.googleapis.com,bigquery.googleapis.com
.
Adicionar um nível de acesso a um perímetro
Depois de criar um nível de acesso, será possível aplicá-lo a um perímetro de serviço para controlar o acesso.
Depois de atualizar um perímetro de serviço, pode levar até 30 minutos para que as
alterações sejam propagadas e entrem em vigor. Durante esse período, o perímetro pode bloquear
solicitações com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.
Console
No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Na página Editar perímetro de serviço da VPC, clique na caixa Escolher nível de acesso.
Marque as caixas de seleção correspondentes aos níveis de acesso que você quer aplicar ao perímetro de serviço.
Clique em Salvar.
gcloud
Para adicionar um nível de acesso a um perímetro de serviço atual, use o
comando update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-access-levels=LEVEL_NAME
Substitua:
PERIMETER_ID é o ID do perímetro de serviço.
LEVEL_NAME é o nome do nível de acesso que você quer adicionar ao perímetro.
Para mais informações sobre o uso de níveis de acesso com um perímetro, consulte Permitir o acesso a recursos protegidos de fora de um perímetro.
Excluir um perímetro de serviço
Quando você exclui um perímetro de serviço, os controles de segurança associados ao perímetro não se aplicam mais aos projetos associados do Google Cloud. Não há outro impacto nos projetos membros do Google Cloud ou nos recursos associados.
Console
No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.
Na página VPC Service Controls, na linha da tabela correspondente ao perímetro que você quer excluir, clique em
.
gcloud
Para excluir um perímetro de serviço, use o comando delete
:
gcloud access-context-manager perimeters delete PERIMETER_ID
Substitua:
- PERIMETER_ID é o ID do perímetro de serviço.
Limitar o acesso a serviços dentro de um perímetro com serviços acessíveis por VPC
Nesta seção, descrevemos como ativar, adicionar, remover e desativar serviços acessíveis de VPC.
É possível usar o recurso de serviços acessíveis de VPC para limitar o conjunto de serviços acessíveis de endpoints de rede dentro do perímetro de serviço. É possível adicionar serviços acessíveis por VPC a perímetros de serviço, mas não a pontes do perímetro.
Para saber mais sobre o recurso de serviços acessíveis de VPC, leia sobre serviços acessíveis de VPC.
Ativar serviços acessíveis por VPC
Para ativar serviços acessíveis por VPC para o perímetro de serviço, use o
comando update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=SERVICES
Substitua:
PERIMETER_ID é o ID do perímetro de serviço.
SERVICES é uma lista separada por vírgulas de um ou mais serviços com uma permissão de acesso que você quer conceder às redes que estão dentro do perímetro. O acesso a qualquer serviço não incluído nessa lista está impedido.
Para incluir rapidamente os serviços protegidos pelo perímetro, adicione
RESTRICTED-SERVICES
à lista de SERVICES. É possível incluir outros serviços além deRESTRICTED-SERVICES
.
Por exemplo, para garantir que as redes VPC no perímetro tenham acesso apenas aos serviços do Logging e do Cloud Storage, use o seguinte comando:
gcloud access-context-manager perimeters update example_perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
--policy=11271009391
Adicionar um serviço aos serviços acessíveis por VPC
Para adicionar outros serviços aos serviços acessíveis por VPC do seu
perímetro, use o comando update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-vpc-allowed-services=SERVICES
Substitua:
PERIMETER_ID é o ID do perímetro de serviço.
SERVICES é uma lista separada por vírgulas de um ou mais serviços com uma permissão de acesso que você quer conceder às redes que estão dentro do perímetro.
Para incluir rapidamente os serviços protegidos pelo perímetro, adicione
RESTRICTED-SERVICES
à lista de SERVICES. É possível incluir serviços separados, além deRESTRICTED-SERVICES
.
Por exemplo, se você ativar os serviços acessíveis por VPC e exigir que as redes VPC no perímetro tenham acesso ao serviço Pub/Sub, use o seguinte comando:
gcloud access-context-manager perimeters update example_perimeter \
--add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
--policy=11271009391
Remover um serviço dos serviços acessíveis por VPC
Para remover serviços dos serviços acessíveis por VPC para seu perímetro de serviço,
use o comando update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--remove-vpc-allowed-services=SERVICES
Substitua:
PERIMETER_ID é o ID do perímetro de serviço.
SERVICES é uma lista separada por vírgulas de um ou mais serviços que você quer remover da lista de serviços que as redes dentro do seu perímetro de serviço têm permissão de acesso.
Por exemplo, se você ativar os serviços acessíveis por VPC e não quiser mais que as redes VPC no seu perímetro tenham acesso ao serviço Cloud Storage, use o seguinte comando:
gcloud access-context-manager perimeters update example_perimeter \
--remove-vpc-allowed-services=storage.googleapis.com \
--policy=11271009391
Desativar serviços acessíveis por VPC
Para desativar as restrições de serviço da VPC para o perímetro de serviço, use o
comando update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services
Substitua:
- PERIMETER_ID é o ID do perímetro de serviço.
Por exemplo, para desativar as restrições de serviço da VPC para example_perimeter
,
use o seguinte comando:
gcloud access-context-manager perimeters update example_perimeter \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
--policy=11271009391
Serviços acessíveis por VPC e a API Access Context Manager
Também é possível usar a API Access Context Manager para gerenciar serviços acessíveis por VPC.
Ao criar ou modificar um perímetro de serviço, use o
objeto ServicePerimeterConfig
no corpo da resposta para
configurar os serviços acessíveis por VPC.