Mengelola perimeter layanan

Halaman ini menjelaskan cara mengelola perimeter layanan di Kontrol Layanan VPC. Untuk mengetahui detail tentang cara membuat perimeter layanan baru, lihat Membuat perimeter layanan.

Halaman ini berisi bagian-bagian berikut:

Sebelum memulai

Mencantumkan dan mendeskripsikan perimeter layanan

Mencantumkan semua perimeter layanan di organisasi:

Konsol

  1. Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.

    Buka halaman Kontrol Layanan VPC

  2. Di halaman Kontrol Layanan VPC, di tabel, klik nama perimeter layanan yang ingin Anda lihat.

gcloud

Untuk mencantumkan perimeter layanan organisasi Anda, gunakan perintah list:

gcloud access-context-manager perimeters list

Anda akan melihat daftar perimeter untuk organisasi Anda. Contoh:

NAME           TITLE                 ETAG
ProdPerimeter  Production Perimeter  abcdefg123456789

Untuk melihat detail tentang perimeter layanan, gunakan perintah describe:

gcloud access-context-manager perimeters \
  describe PERIMETER_ID

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan yang detailnya ingin Anda dapatkan.

Anda akan melihat detail tentang perimeter. Contoh:

etag: abcdefg123456789
name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter
status:
  accessLevels:
  - accessPolicies/626111171578/accessLevels/corpAccess
  resources:
  - projects/111584792408
  restrictedServices:
  - bigquery.googleapis.com
  - storage.googleapis.com
title: Production Perimeter

Mencantumkan perimeter layanan (diformat)

Dengan menggunakan alat command line gcloud, Anda bisa mendapatkan daftar perimeter layanan dalam format YAML atau JSON.

Untuk mendapatkan daftar perimeter yang diformat, gunakan perintah list:

gcloud access-context-manager perimeters list \
  --format=FORMAT

Ganti kode berikut:

  • FORMAT adalah salah satu nilai berikut:

    • list (format YAML)

    • json (format JSON)

Output berikut adalah contoh daftar dalam format YAML:

- etag: abcdefg123456789
  name: accessPolicies/165717541651/servicePerimeters/On_Prem
  status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']}
  title: On Prem
- etag: hijklmn987654321
  name: accessPolicies/165717541651/servicePerimeters/Private
  spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']}
  status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']}
  title: Private
  useExplicitDryRunSpec: True
- etag: pqrstuv123456789
  name: accessPolicies/165717541651/servicePerimeters/OnpremBridge
  perimeterType: PERIMETER_TYPE_BRIDGE
  status: {'resources': ['projects/167410821371']}
  title: OnpremBridge

Output berikut adalah contoh daftar dalam format JSON:

[
  {
    "etag": "abcdefg123456789",
    "name": "accessPolicies/165717541651/servicePerimeters/On_Prem",
    "status": {
      "resources": [
        "projects/167410821371"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com"
      ]
    },
    "title": "On Prem"
  },
  {
    "etag": "hijklmn987654321",
    "name": "accessPolicies/165717541651/servicePerimeters/Private",
    "spec": {
      "resources": [
        "projects/136109111311"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com",
        "logging.googleapis.com"
      ]
    },
    "status": {
      "resources": [
        "projects/136109111311",
        "projects/401921913171"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com"
      ]
    },
    "title": "Private",
    "useExplicitDryRunSpec": true
  },
  {
    "etag": "pqrstuv123456789",
    "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge",
    "perimeterType": "PERIMETER_TYPE_BRIDGE",
    "status": {
      "resources": [
        "projects/167410821371"
      ]
    },
    "title": "OnpremBridge"
  }
]

Memperbarui perimeter layanan

Bagian ini menjelaskan cara memperbarui setiap perimeter layanan. Untuk memperbarui semua perimeter layanan organisasi Anda dalam satu operasi, lihat Melakukan perubahan massal pada perimeter layanan.

Anda dapat melakukan tugas berikut untuk memperbarui perimeter layanan:

Setelah Anda memperbarui perimeter layanan, perlu waktu hingga 30 menit agar perubahan diterapkan dan berlaku. Selama waktu ini, perimeter mungkin memblokir permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.

Konsol

  1. Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.

    Buka halaman Kontrol Layanan VPC

  2. Di halaman Kontrol Layanan VPC, di tabel, klik nama perimeter layanan yang ingin Anda ubah.

  3. Di halaman Edit VPC Service Perimeter, perbarui perimeter layanan.

  4. Klik Simpan.

gcloud

Untuk menambahkan resource baru ke perimeter, gunakan perintah update dan tentukan resource yang akan ditambahkan:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-resources=RESOURCES

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan yang detailnya ingin Anda dapatkan.

  • RESOURCES adalah daftar yang dipisahkan koma dari satu atau beberapa nomor project atau nama jaringan VPC. Misalnya: projects/12345 atau //compute.googleapis.com/projects/my-project/global/networks/vpc1. Hanya project dan jaringan VPC yang diizinkan. Format project: projects/project_number. Format VPC: //compute.googleapis.com/projects/project-id/global/networks/network_name.

Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah update dan tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-restricted-services=SERVICES

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan yang detailnya ingin Anda dapatkan.

  • SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan. Misalnya: storage.googleapis.com atau storage.googleapis.com,bigquery.googleapis.com.

Menambahkan tingkat akses ke perimeter yang ada

Setelah membuat tingkat akses, Anda dapat menerapkannya ke perimeter layanan untuk mengontrol akses.

Setelah Anda memperbarui perimeter layanan, perlu waktu hingga 30 menit agar perubahan diterapkan dan berlaku. Selama waktu ini, perimeter mungkin memblokir permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.

Konsol

  1. Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.

    Buka halaman Kontrol Layanan VPC

  2. Di halaman Kontrol Layanan VPC, di tabel, klik nama perimeter layanan yang ingin Anda ubah.

  3. Di halaman Edit VPC Service Perimeter, klik kotak Choose Access Level.

  4. Pilih kotak centang yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter layanan.

  5. Klik Simpan.

gcloud

Untuk menambahkan tingkat akses ke perimeter layanan yang ada, gunakan perintah update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-access-levels=LEVEL_NAME

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan Anda.

  • LEVEL_NAME adalah nama tingkat akses yang ingin Anda tambahkan ke perimeter.

Untuk informasi selengkapnya tentang cara menggunakan tingkat akses dengan perimeter, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Menghapus perimeter layanan

Saat Anda menghapus perimeter layanan, kontrol keamanan yang terkait dengan perimeter tidak lagi berlaku untuk project Google Cloud terkait. Tidak ada dampak lain terhadap project Google Cloud anggota atau resource terkait.

Konsol

  1. Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.

    Buka halaman Kontrol Layanan VPC

  2. Di halaman VPC Service Controls, di baris tabel yang sesuai dengan perimeter yang ingin Anda hapus, klik .

gcloud

Untuk menghapus perimeter layanan, gunakan perintah delete:

gcloud access-context-manager perimeters delete PERIMETER_ID

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan Anda.

Membatasi akses ke layanan di dalam perimeter dengan layanan yang dapat diakses VPC

Bagian ini menjelaskan cara mengaktifkan, menambahkan, menghapus, dan menonaktifkan layanan yang dapat diakses VPC.

Anda dapat menggunakan fitur layanan yang dapat diakses VPC untuk membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda. Anda dapat menambahkan layanan yang dapat diakses VPC ke perimeter layanan, tetapi tidak ke bridge perimeter.

Untuk mempelajari lebih lanjut fitur layanan yang dapat diakses VPC, baca artikel tentang layanan yang dapat diakses VPC.

Mengaktifkan layanan yang dapat diakses VPC

Untuk mengaktifkan layanan yang dapat diakses VPC untuk perimeter layanan Anda, gunakan perintah update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=SERVICES

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan Anda.

  • SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan yang ingin Anda izinkan untuk diakses oleh jaringan di dalam perimeter Anda. Akses ke layanan apa pun yang tidak disertakan dalam daftar ini akan dicegah.

    Untuk menyertakan layanan yang dilindungi oleh perimeter dengan cepat, tambahkan RESTRICTED-SERVICES ke daftar untuk SERVICES. Anda dapat menyertakan layanan lain selain RESTRICTED-SERVICES.

Misalnya, untuk memastikan bahwa jaringan VPC di perimeter Anda hanya memiliki akses ke layanan Logging dan Cloud Storage, gunakan perintah berikut:

gcloud access-context-manager perimeters update example_perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
  --policy=11271009391

Menambahkan layanan ke layanan yang dapat diakses VPC

Untuk menambahkan layanan tambahan ke layanan yang dapat diakses VPC untuk perimeter Anda, gunakan perintah update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-vpc-allowed-services=SERVICES

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan Anda.

  • SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan yang ingin Anda izinkan untuk diakses oleh jaringan di dalam perimeter Anda.

    Untuk menyertakan layanan yang dilindungi oleh perimeter dengan cepat, tambahkan RESTRICTED-SERVICES ke daftar untuk SERVICES. Anda dapat menyertakan layanan terpisah selain RESTRICTED-SERVICES.

Misalnya, jika Anda mengaktifkan layanan yang dapat diakses VPC dan mewajibkan jaringan VPC di perimeter Anda memiliki akses ke layanan Pub/Sub, gunakan perintah berikut:

gcloud access-context-manager perimeters update example_perimeter \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
  --policy=11271009391

Menghapus layanan dari layanan yang dapat diakses VPC

Untuk menghapus layanan dari layanan yang dapat diakses VPC untuk perimeter layanan Anda, gunakan perintah update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --remove-vpc-allowed-services=SERVICES

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan Anda.

  • SERVICES adalah daftar satu atau beberapa layanan yang dipisahkan koma yang ingin Anda hapus dari daftar layanan yang diizinkan untuk diakses oleh jaringan di dalam perimeter layanan Anda.

Misalnya, jika Anda mengaktifkan layanan yang dapat diakses VPC dan tidak ingin lagi jaringan VPC di perimeter Anda memiliki akses ke layanan Cloud Storage, gunakan perintah berikut:

gcloud access-context-manager perimeters update example_perimeter \
  --remove-vpc-allowed-services=storage.googleapis.com \
  --policy=11271009391

Menonaktifkan layanan yang dapat diakses VPC

Untuk menonaktifkan batasan layanan VPC untuk perimeter layanan Anda, gunakan perintah update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services

Ganti kode berikut:

  • PERIMETER_ID adalah ID perimeter layanan Anda.

Misalnya, untuk menonaktifkan batasan layanan VPC untuk example_perimeter, gunakan perintah berikut:

gcloud access-context-manager perimeters update example_perimeter \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services \
  --policy=11271009391

Layanan yang dapat diakses VPC dan Access Context Manager API

Anda juga dapat menggunakan Access Context Manager API untuk mengelola layanan yang dapat diakses VPC. Saat membuat atau mengubah perimeter layanan, gunakan objek ServicePerimeterConfig dalam isi respons untuk mengonfigurasi layanan yang dapat diakses VPC Anda.