Dienstperimeter verwalten

Auf dieser Seite wird beschrieben, wie Sie Dienstperimeter in VPC Service Controls verwalten können. Weitere Informationen zum Erstellen neuer Dienstperimeter finden Sie unter Dienstperimeter erstellen.

Hinweise

Wenn Sie das Befehlszeilentool gcloud oder die Access Context Manager API zur Verwaltung Ihrer Dienstumgebungen verwenden, benötigen Sie den Namen der Zugriffsrichtlinie Ihrer Organisation. Den Namen der Zugriffsrichtlinie finden Sie in der Dokumentation zu Access Context Manager.

Dienstperimeter auflisten und beschreiben

Alle Dienstperimeter einer Organisation auflisten:

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ansehen möchten.

gcloud

Zum Auflisten der Dienstperimeter Ihrer Organisation verwenden Sie den Befehl list:

gcloud access-context-manager perimeters list \
      --policy=POLICY_NAME
    

Wobei:

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Sie sollten eine Liste der Perimeter Ihrer Organisation sehen. Beispiel:

    NAME           TITLE
    ProdPerimeter  Production Perimeter
    

Wenn Sie Details zu einem Dienstperimeter aufrufen möchten, können Sie den Befehl describe verwenden:

gcloud access-context-manager perimeters \
      describe PERIMETER_NAME \
      --policy=POLICY_NAME
    

Wobei:

  • PERIMETER_NAME ist der Name des Dienstperimeters, über den Sie Details erhalten möchten.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Sie sollten die Details zum Perimeter sehen. Beispiel:

    accessLevels:
    - accessPolicies/626111171578/accessLevels/corpAccess
    resources:
    - projects/111584792408
    restrictedServices:
    - bigquery.googleapis.com
    - storage.googleapis.com
    title: Production Perimeter
    

Dienstperimeter aktualisieren

Sie können einem Dienstperimeter neue Google Cloud-Projekte hinzufügen oder daraus entfernen. Sie können die Liste der eingeschränkten Google Cloud-Dienste ändern. Außerdem können Sie den Titel und die Beschreibung für einen Dienstperimeter ändern. Dazu müssen Sie die vollständige Liste der Ressourcen bereitstellen.

Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet und Sie können den Dienstperimeter aktualisieren.

  4. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl update und geben Sie die hinzuzufügenden Ressourcen an, um einem Perimeter neue Projekte hinzuzufügen:

gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-resources=PROJECTS \
      --policy=POLICY_NAME
    

Wobei:

  • PERIMETER_NAME ist der Name des Dienstperimeters, über den Sie Details erhalten möchten.

  • PROJECTS ist eine durch Kommas getrennte Liste mit einer oder mehreren Projekt-IDs. Beispiel: projects/100712 oder projects/100712,projects/233130.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Um die Liste der eingeschränkten Dienste zu aktualisieren, verwenden Sie den Befehl update und geben Sie die Dienste an, die als durch Kommas getrennte Liste hinzugefügt werden sollen:

gcloud access-context-manager perimeters update PERIMETER_ID \
      --add-restricted-services=SERVICES \
      --policy=POLICY_NAME
    

Wobei:

  • PERIMETER_NAME ist der Name des Dienstperimeters, über den Sie Details erhalten möchten.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel: storage.googleapis.com oder storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Zugriffsebene zu einem vorhandenen Perimeter hinzufügen

Nachdem Sie eine Zugriffsebene erstellt haben, können Sie sie auf einen Dienstperimeter anwenden, um den Zugriff zu steuern.

Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet .Klicken Sie auf das Kästchen Zugriffsebene auswählen.

  4. Klicken Sie auf die Kästchen für die Zugriffsebenen, die Sie auf den Dienstperimeter anwenden möchten.

  5. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl update, um eine Zugriffsebene zu einem vorhandenen Dienstperimeter hinzuzufügen:

gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-access-levels=LEVEL_NAME \
      --policy=POLICY_NAME
    

Wobei:

  • PERIMETER_NAME ist der Name Ihres Dienstperimeters.

  • LEVEL_NAME ist der Name der Zugriffsebene, die Sie dem Perimeter hinzufügen möchten.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Dienstperimeter löschen

Wenn Sie einen Dienstperimeter löschen, gelten die mit dem Perimeter verknüpften Sicherheitsfunktionen nicht mehr für die zugehörigen Google Cloud-Projekte. Für die betroffenen Google Cloud-Projekte oder die zugehörigen Ressourcen entstehen keine anderen Auswirkungen.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie auf der Seite VPC Service Controls in der Tabellenzeile des Perimeters, den Sie löschen möchten, auf die Schaltfläche .

gcloud

Um einen Dienstperimeter zu löschen, verwenden Sie den Befehl delete:

gcloud access-context-manager perimeters delete PERIMETER_NAME \
      --policy=POLICY_NAME
    

Wobei:

  • PERIMETER_NAME ist der Name Ihres Dienstperimeters.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019