Dienstperimeter verwalten

Auf dieser Seite wird beschrieben, wie Sie Dienstperimeter in VPC Service Controls verwalten können. Weitere Informationen zum Erstellen neuer Dienstperimeter finden Sie unter Dienstperimeter erstellen.

Diese Seite enthält die folgenden Abschnitte:

Hinweis

Dienstperimeter auflisten und beschreiben

Alle Dienstperimeter einer Organisation auflisten:

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ansehen möchten.

gcloud

Zum Auflisten der Dienstperimeter Ihrer Organisation verwenden Sie den Befehl list:

gcloud access-context-manager perimeters list \
  [--policy=POLICY_NAME]

Dabei gilt:

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Sie sollten eine Liste der Perimeter Ihrer Organisation sehen. Beispiel:

NAME           TITLE
ProdPerimeter  Production Perimeter

Wenn Sie Details zu einem Dienstperimeter aufrufen möchten, können Sie den Befehl describe verwenden:

gcloud access-context-manager perimeters \
  describe PERIMETER_NAME \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Sie sollten die Details zum Perimeter sehen. Beispiel:

accessLevels:
- accessPolicies/626111171578/accessLevels/corpAccess
resources:
- projects/111584792408
restrictedServices:
- bigquery.googleapis.com
- storage.googleapis.com
title: Production Perimeter

Dienstperimeter auflisten (formatiert)

Mit dem gcloud-Befehlszeilentool können Sie eine Liste Ihrer Dienstperimeter im YAML- oder JSON-Format abrufen.

Eine formatierte Liste von Perimetern erhalten Sie mit dem Befehl list.

gcloud access-context-manager perimeters list \
  --format=FORMAT \
  [--policy=POLICY_NAME]

Dabei gilt:

  • FORMAT ist einer der folgenden Werte:

    • list (YAML-Format)

    • json (JSON-Format)

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Die YAML-Ausgabe sieht etwa so aus:

- name: accessPolicies/165717541651/servicePerimeters/On_Prem
  status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']}
  title: On Prem
- name: accessPolicies/165717541651/servicePerimeters/Private
  spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']}
  status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']}
  title: Private
  useExplicitDryRunSpec: True
- name: accessPolicies/165717541651/servicePerimeters/OnpremBridge
  perimeterType: PERIMETER_TYPE_BRIDGE
  status: {'resources': ['projects/167410821371']}
  title: OnpremBridge

Die JSON-Ausgabe sieht etwa so aus:

[
  {
    "name": "accessPolicies/165717541651/servicePerimeters/On_Prem",
    "status": {
      "resources": [
        "projects/167410821371"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com"
      ]
    },
    "title": "On Prem"
  },
  {
    "name": "accessPolicies/165717541651/servicePerimeters/Private",
    "spec": {
      "resources": [
        "projects/136109111311"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com",
        "logging.googleapis.com"
      ]
    },
    "status": {
      "resources": [
        "projects/136109111311",
        "projects/401921913171"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com"
      ]
    },
    "title": "Private",
    "useExplicitDryRunSpec": true
  },
  {
    "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge",
    "perimeterType": "PERIMETER_TYPE_BRIDGE",
    "status": {
      "resources": [
        "projects/167410821371"
      ]
    },
    "title": "OnpremBridge"
  }
]

Dienstperimeter aktualisieren

Sie können neue Google Cloud-Projekte zu einem Dienstperimeter hinzufügen oder Projekte aus einem Perimeter entfernen. Sie können die Liste der eingeschränkten Google Cloud-Dienste ändern. Außerdem können Sie den Titel und die Beschreibung für einen Dienstperimeter ändern. Dazu müssen Sie die vollständige Liste der Ressourcen bereitstellen.

In diesem Abschnitt wird beschrieben, wie Sie einzelne Dienstperimeter aktualisieren. Informationen zum Aktualisieren aller Dienstperimeter Ihrer Organisation in einem Vorgang finden Sie unter Bulk-Änderungen an Dienstperimetern vornehmen.

Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet und Sie können den Dienstperimeter aktualisieren.

  4. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl update und geben Sie die hinzuzufügenden Ressourcen an, um einem Perimeter neue Projekte hinzuzufügen:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-resources=PROJECTS \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • PROJECTS ist eine durch Kommas getrennte Liste mit einer oder mehreren Projekt-IDs. Beispiel: projects/100712 oder projects/100712,projects/233130.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Verwenden Sie zum Aktualisieren der Liste der eingeschränkten Dienste den Befehl update und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel: storage.googleapis.com oder storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Zugriffsebene zu einem vorhandenen Perimeter hinzufügen

Nachdem Sie eine Zugriffsebene erstellt haben, können Sie sie auf einen Dienstperimeter anwenden, um den Zugriff zu steuern.

Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet .Klicken Sie auf das Kästchen Zugriffsebene auswählen.

  4. Klicken Sie auf die Kästchen für die Zugriffsebenen, die Sie auf den Dienstperimeter anwenden möchten.

  5. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl update, um einem vorhandenen Dienstperimeter eine Zugriffsebene hinzuzufügen:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-access-levels=LEVEL_NAME \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters.

  • LEVEL_NAME ist der Name der Zugriffsebene, die Sie dem Dienstperimeter hinzufügen möchten.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Dienstperimeter löschen

Wenn Sie einen Dienstperimeter löschen, gelten die mit dem Perimeter verknüpften Sicherheitsfunktionen nicht mehr für die zugehörigen Google Cloud-Projekte. Für die betroffenen Google Cloud-Projekte oder die zugehörigen Ressourcen entstehen keine anderen Auswirkungen.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite "VPC Service Controls"

  2. Klicken Sie auf der Seite VPC Service Controls in der Tabellenzeile des Perimeters, den Sie löschen möchten, auf die Schaltfläche .

gcloud

Verwenden Sie den Befehl delete, um einen Dienstperimeter zu löschen:

gcloud access-context-manager perimeters delete PERIMETER_NAME \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Zugriff auf Dienste in einem Perimeter mit über VPC zugängliche Dienste beschränken

In diesem Abschnitt wird beschrieben, wie Sie über VPC zugängliche Dienste aktivieren, hinzufügen, entfernen und deaktivieren.

Mit dem Feature "Über VPC zugängliche Dienste" wird die Gruppe der Dienste beschränkt, auf die über Netzwerkendpunkte innerhalb Ihres Dienstperimeters zugegriffen werden kann. Über VPC zugängliche Dienste können nur zu Dienstperimetern hinzugefügt werden, nicht zu Perimeter-Bridges.

Weitere Informationen zum Feature "Über VPC zugängliche Dienste" finden Sie unter VPC-Dienste.

Über VPC zugängliche Dienste aktivieren

Verwenden Sie den folgenden Befehl, um über VPC zugängliche Dienste für Ihren Dienstperimeter zu aktivieren:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=SERVICES \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten, für die Sie den Zugriff durch Netzwerke innerhalb des Perimeters zulassen möchten. Der Zugriff auf Dienste, die nicht in dieser Liste enthalten sind, wird verhindert.

    Um die durch den Perimeter geschützten Dienste schnell hinzuzufügen, fügen Sie RESTRICTED-SERVICES zur Liste für SERVICES hinzu. Zusätzlich zu RESTRICTED-SERVICES können Sie weitere Dienste hinzufügen.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Wenn die VPC-Netzwerke in Ihrem Perimeter beispielsweise nur Zugriff auf die Logging- und Cloud Storage-Dienste haben sollen, verwenden Sie den folgenden Befehl:

gcloud access-context-manager perimeters update example_perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
  --policy=11271009391

Dienst zu den Diensten hinzufügen, die über VPC zugänglich sind

Verwenden Sie den folgenden Befehl, um zusätzliche Dienste zu den über VPC zugänglichen Diensten für Ihren Perimeter hinzuzufügen:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-vpc-allowed-services=SERVICES \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten, für die Sie den Zugriff durch Netzwerke innerhalb des Perimeters zulassen möchten.

    Um die durch den Perimeter geschützten Dienste schnell hinzuzufügen, fügen Sie RESTRICTED-SERVICES zur Liste für SERVICES hinzu. Sie können neben RESTRICTED-SERVICES auch separate Dienste hinzufügen.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Wenn Sie beispielsweise bereits über VPC zugängliche Dienste aktiviert haben und möchten, dass die VPC-Netzwerke in Ihrem Perimeter auch Zugriff auf den Pub/Sub-Dienst haben, verwenden Sie den folgenden Befehl:

gcloud access-context-manager perimeters update example_perimeter \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
  --policy=11271009391

Dienst aus den Diensten entfernen, die über VPC zugänglich sind

Verwenden Sie den folgenden Befehl, um über VPC zugängliche Dienste aus dem Dienstperimeter zu entfernen:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --remove-vpc-allowed-services=SERVICES \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten, die aus der Liste der Dienste entfernt werden sollen, auf die Netzwerke innerhalb des Dienstperimeters zugreifen dürfen.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Wenn Sie beispielsweise bereits über VPC zugängliche Dienste aktiviert haben und nicht mehr möchten, dass die VPC-Netzwerke in Ihrem Perimeter Zugriff auf den Cloud Storage-Dienst haben, verwenden Sie den folgenden Befehl:

gcloud access-context-manager perimeters update example_perimeter \
  --remove-vpc-allowed-services=storage.googleapis.com \
  --policy=11271009391

Über VPC zugängliche Dienste deaktivieren

Verwenden Sie den folgenden Befehl, um VPC-Diensteinschränkungen für Ihren Dienstperimeter zu deaktivieren:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Um beispielsweise VPC-Diensteinschränkungen für example_perimeter zu deaktivieren, verwenden Sie den folgenden Befehl:

gcloud access-context-manager perimeters update example_perimeter \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services \
  --policy=11271009391

Über VPC und die Access Context Manager API zugängliche Dienste

Die Access Context Manager API kann auch verwendet werden, um über VPC zugängliche Dienste zu verwalten. Verwenden Sie beim Erstellen oder Ändern eines Dienstperimeters das ServicePerimeterConfig-Objekt im Antworttext, um die über VPC zugänglichen Dienste zu konfigurieren.