Halaman ini menjelaskan cara mengelola perimeter layanan di Kontrol Layanan VPC. Untuk mengetahui detail tentang cara membuat perimeter layanan baru, lihat Membuat perimeter layanan.
Halaman ini berisi bagian-bagian berikut:
Sebelum memulai
Tetapkan kebijakan akses default untuk menggunakan alat command line
gcloud.-atau-
Dapatkan nama kebijakan Anda. Nama kebijakan diperlukan untuk perintah yang menggunakan alat command line
gclouddan melakukan panggilan API. Jika menetapkan kebijakan akses default, Anda tidak perlu menentukan kebijakan untuk alat command linegcloud.
Mencantumkan dan menjelaskan perimeter layanan
Cantumkan semua perimeter layanan dalam organisasi:
Konsol
Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.
Di halaman Kontrol Layanan VPC, pada tabel, klik nama perimeter layanan yang ingin Anda lihat.
gcloud
Untuk mencantumkan perimeter layanan organisasi Anda, gunakan perintah list:
gcloud access-context-manager perimeters list \
[--policy=POLICY_ID]
Ganti kode berikut:
- POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Anda akan melihat daftar perimeter untuk organisasi Anda. Contoh:
NAME TITLE ProdPerimeter Production Perimeter
Untuk melihat detail tentang perimeter layanan, gunakan perintah describe:
gcloud access-context-manager perimeters \
describe PERIMETER_ID \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan yang ingin Anda dapatkan detailnya.
POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Anda akan melihat detail tentang perimeter ini. Contoh:
accessLevels: - accessPolicies/626111171578/accessLevels/corpAccess resources: - projects/111584792408 restrictedServices: - bigquery.googleapis.com - storage.googleapis.com title: Production Perimeter
Mencantumkan perimeter layanan (diformat)
Dengan menggunakan alat command line gcloud, Anda bisa mendapatkan daftar perimeter layanan dalam format YAML atau JSON.
Untuk mendapatkan daftar perimeter yang diformat, gunakan perintah list.
gcloud access-context-manager perimeters list \ --format=FORMAT \ [--policy=POLICY_ID]
Ganti kode berikut:
FORMAT adalah salah satu dari nilai berikut:
list(Format YAML)json(format JSON)
POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Output berikut adalah daftar contoh dalam format YAML:
- name: accessPolicies/165717541651/servicePerimeters/On_Prem
status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']}
title: On Prem
- name: accessPolicies/165717541651/servicePerimeters/Private
spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']}
status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']}
title: Private
useExplicitDryRunSpec: True
- name: accessPolicies/165717541651/servicePerimeters/OnpremBridge
perimeterType: PERIMETER_TYPE_BRIDGE
status: {'resources': ['projects/167410821371']}
title: OnpremBridge
Output berikut adalah daftar contoh dalam format JSON:
[
{
"name": "accessPolicies/165717541651/servicePerimeters/On_Prem",
"status": {
"resources": [
"projects/167410821371"
],
"restrictedServices": [
"bigquery.googleapis.com",
"storage.googleapis.com"
]
},
"title": "On Prem"
},
{
"name": "accessPolicies/165717541651/servicePerimeters/Private",
"spec": {
"resources": [
"projects/136109111311"
],
"restrictedServices": [
"bigquery.googleapis.com",
"storage.googleapis.com",
"logging.googleapis.com"
]
},
"status": {
"resources": [
"projects/136109111311",
"projects/401921913171"
],
"restrictedServices": [
"bigquery.googleapis.com"
]
},
"title": "Private",
"useExplicitDryRunSpec": true
},
{
"name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge",
"perimeterType": "PERIMETER_TYPE_BRIDGE",
"status": {
"resources": [
"projects/167410821371"
]
},
"title": "OnpremBridge"
}
]
Mengupdate perimeter layanan
Bagian ini menjelaskan cara mengupdate perimeter layanan individual. Untuk memperbarui semua perimeter layanan organisasi Anda dalam satu operasi, lihat Membuat perubahan massal pada perimeter layanan.
Anda dapat melakukan tugas berikut untuk mengupdate perimeter layanan:
- Tambahkan project Google Cloud baru atau hapus project dari perimeter layanan.
- Mengubah daftar layanan Google Cloud yang dibatasi. Anda juga dapat mengubah judul dan deskripsi untuk perimeter layanan.
- Mengaktifkan, menambahkan, menghapus, atau menonaktifkan layanan yang dapat diakses VPC.
- Perbarui kebijakan traffic masuk dan keluar.
Setelah Anda memperbarui perimeter layanan, diperlukan waktu hingga 30 menit agar perubahan diterapkan dan diterapkan. Selama waktu ini, perimeter mungkin memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.
Di halaman Kontrol Layanan VPC, pada tabel, klik nama perimeter layanan yang ingin Anda ubah.
Di halaman Edit VPC Service Perimeter, perbarui perimeter layanan.
Klik Simpan.
gcloud
Untuk menambahkan resource baru ke perimeter, gunakan perintah update dan tentukan
resource yang akan ditambahkan:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-resources=RESOURCES \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan yang ingin Anda dapatkan detailnya.
RESOURCES adalah daftar yang dipisahkan koma yang berisi satu atau beberapa nomor project atau nama jaringan VPC. Misalnya:
projects/12345atau//compute.googleapis.com/projects/my-project/global/networks/vpc1. Hanya project dan jaringan VPC yang diizinkan. Format project:projects/project_number. Format VPC://compute.googleapis.com/projects/project-id/global/networks/network_name.POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah update dan
tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan yang ingin Anda dapatkan detailnya.
SERVICES adalah daftar satu atau beberapa layanan yang dipisahkan koma. Misalnya:
storage.googleapis.comataustorage.googleapis.com,bigquery.googleapis.com.POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Menambahkan tingkat akses ke perimeter yang ada
Setelah membuat tingkat akses, Anda dapat menerapkannya ke perimeter layanan untuk mengontrol akses.
Setelah Anda memperbarui perimeter layanan, diperlukan waktu hingga 30 menit agar perubahan diterapkan dan diterapkan. Selama waktu ini, perimeter mungkin memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.
Di halaman Kontrol Layanan VPC, pada tabel, klik nama perimeter layanan yang ingin Anda ubah.
Pada halaman Edit VPC Service Perimeter, klik kotak Choose Access Level.
Pilih kotak centang yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter layanan.
Klik Simpan.
gcloud
Untuk menambahkan tingkat akses ke perimeter layanan yang ada, gunakan
perintah update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-access-levels=LEVEL_NAME \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
LEVEL_NAME adalah nama tingkat akses yang ingin Anda tambahkan ke perimeter.
POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Menghapus perimeter layanan
Saat Anda menghapus perimeter layanan, kontrol keamanan yang terkait dengan perimeter tidak lagi berlaku untuk project Google Cloud terkait. Tidak ada dampak lain terhadap project Google Cloud anggota atau resource terkait.
Konsol
Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.
Di halaman VPC Service Controls, di baris tabel yang sesuai dengan perimeter yang ingin Anda hapus, klik .
gcloud
Untuk menghapus perimeter layanan, gunakan perintah delete:
gcloud access-context-manager perimeters delete PERIMETER_ID \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Membatasi akses ke layanan di dalam perimeter dengan layanan VPC yang dapat diakses
Bagian ini menjelaskan cara mengaktifkan, menambahkan, menghapus, dan menonaktifkan layanan yang dapat diakses VPC.
Anda dapat menggunakan fitur layanan VPC yang dapat diakses untuk membatasi sekumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda. Anda dapat menambahkan layanan yang dapat diakses VPC ke perimeter layanan, tetapi tidak ke perimeter bridge.
Untuk mempelajari lebih lanjut fitur layanan VPC yang dapat diakses, baca tentang Layanan yang dapat diakses VPC.
Mengaktifkan layanan yang dapat diakses VPC
Guna mengaktifkan layanan yang dapat diakses VPC untuk perimeter layanan Anda, gunakan perintah berikut:
gcloud access-context-manager perimeters update PERIMETER_ID \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=SERVICES \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan yang ingin Anda izinkan jaringan di dalam perimeter Anda untuk mengakses. Akses ke layanan apa pun yang tidak disertakan dalam daftar ini dicegah.
Untuk menyertakan layanan yang dilindungi oleh perimeter dengan cepat, tambahkan
RESTRICTED-SERVICESke daftar untuk SERVICES. Anda dapat menyertakan layanan lainnya selainRESTRICTED-SERVICES.POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Misalnya, untuk memastikan bahwa jaringan VPC di perimeter Anda hanya memiliki akses ke layanan Logging dan Cloud Storage, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
--policy=11271009391
Menambahkan layanan ke layanan VPC yang dapat diakses
Untuk menambahkan layanan tambahan ke layanan VPC yang dapat diakses untuk perimeter Anda, gunakan perintah berikut:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-vpc-allowed-services=SERVICES \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan yang ingin Anda izinkan jaringan di dalam perimeter Anda untuk mengakses.
Untuk menyertakan layanan yang dilindungi oleh perimeter dengan cepat, tambahkan
RESTRICTED-SERVICESke daftar untuk SERVICES. Anda dapat menyertakan layanan terpisah selainRESTRICTED-SERVICES.POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Misalnya, jika Anda mengaktifkan layanan yang dapat diakses VPC dan mengharuskan jaringan VPC dalam perimeter Anda memiliki akses ke layanan Pub/Sub, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
--policy=11271009391
Menghapus layanan dari layanan VPC yang dapat diakses
Untuk menghapus layanan dari layanan VPC yang dapat diakses untuk perimeter layanan Anda, gunakan perintah berikut:
gcloud access-context-manager perimeters update PERIMETER_ID \
--remove-vpc-allowed-services=SERVICES \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan yang ingin Anda hapus dari daftar layanan yang diizinkan untuk diakses oleh jaringan di dalam perimeter layanan Anda.
POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Misalnya, jika Anda mengaktifkan layanan yang dapat diakses VPC dan tidak ingin lagi jaringan VPC dalam perimeter Anda memiliki akses ke layanan Cloud Storage, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--remove-vpc-allowed-services=storage.googleapis.com \
--policy=11271009391
Nonaktifkan layanan yang dapat diakses VPC
Guna menonaktifkan pembatasan layanan VPC untuk perimeter layanan Anda, gunakan perintah berikut:
gcloud access-context-manager perimeters update PERIMETER_ID \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
[--policy=POLICY_ID]
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
POLICY_ID adalah ID kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Misalnya, untuk menonaktifkan pembatasan layanan VPC untuk example_perimeter, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
--policy=11271009391
Layanan VPC yang dapat diakses dan Access Context Manager API
Anda juga dapat menggunakan Access Context Manager API untuk mengelola layanan VPC yang dapat diakses.
Saat Anda membuat atau mengubah perimeter layanan, gunakan objek ServicePerimeterConfig dalam isi respons untuk mengonfigurasi layanan VPC yang dapat diakses.