Administra perímetros de servicio

En esta página, se describe cómo puedes administrar los perímetros de servicio en los Controles de servicio de VPC. Para obtener detalles sobre cómo crear perímetros de servicio nuevos, consulta Cómo crear perímetros de servicio.

Antes de comenzar

Si utilizas la herramienta de línea de comandos gcloud o la API de Access Context Manager para administrar tus perímetros de servicio, necesitarás el nombre de la política de acceso de tu organización. Para obtener el nombre de la política de acceso, consulta la documentación de Access Context Manager.

Enumera y describe los perímetros de servicio

Enumera todos los perímetros de servicio en una organización:

Console

  1. En el menú de navegación de Google Cloud Console, haga clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. En la página Controles del servicio de VPC, en la tabla, haz clic en el nombre del perímetro de servicio que deseas ver.

gcloud

Para enumerar los perímetros de servicio de tu organización, usa el comando list:

gcloud access-context-manager perimeters list \
      --policy=POLICY_NAME
    

Aquí:

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Debería ver una lista de los perímetros de su organización. Por ejemplo:

    NAME           TITLE
    ProdPerimeter  Production Perimeter
    

Para ver detalles sobre un perímetro de servicio, usa el comando describe:

gcloud access-context-manager perimeters \
      describe PERIMETER_NAME \
      --policy=POLICY_NAME
    

Aquí:

  • PERIMETER_NAME es el nombre del perímetro de servicio del que desea obtener detalles.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Debería ver los detalles del perímetro. Por ejemplo:

    accessLevels:
    - accessPolicies/626111171578/accessLevels/corpAccess
    resources:
    - projects/111584792408
    restrictedServices:
    - bigquery.googleapis.com
    - storage.googleapis.com
    title: Production Perimeter
    

Cómo actualizar un perímetro de servicio

Puedes agregar nuevos proyectos de Google Cloud o quitar proyectos de un perímetro de servicio. Puedes cambiar la lista de servicios restringidos de Google Cloud. También puedes cambiar el título y la descripción de un perímetro de servicio. Para ello, debes proporcionar la lista completa de recursos.

Después de actualizar un perímetro de servicio, es posible que los cambios demoren hasta 30 minutos en propagarse y surtir efecto.

Console

  1. En el menú de navegación de Google Cloud Console, haga clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. En la página Controles del servicio de VPC, en la tabla, haga clic en el nombre del perímetro de servicio que desea modificar.

  3. En la página Editar el perímetro del servicio de VPC, actualiza el perímetro del servicio.

  4. Haga clic en Save.

gcloud

Para agregar proyectos nuevos a un perímetro, usa el comando update y especifica los recursos que se agregarán:

gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-resources=PROJECTS \
      --policy=POLICY_NAME
    

Aquí:

  • PERIMETER_NAME es el nombre del perímetro de servicio del que desea obtener detalles.

  • PROJECTS es una lista delimitada por comas de uno o más ID de proyecto. Por ejemplo, projects/100712 o projects/100712,projects/233130.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Para actualizar la lista de servicios restringidos, usa el comando update y especifica los servicios que deseas agregar como una lista delimitada por comas:

gcloud access-context-manager perimeters update PERIMETER_ID \
      --add-restricted-services=SERVICES \
      --policy=POLICY_NAME
    

Aquí:

  • PERIMETER_NAME es el nombre del perímetro de servicio del que desea obtener detalles.

  • SERVICES es una lista delimitada por comas de uno o más servicios. Por ejemplo, storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Cómo agregar un nivel de acceso a un perímetro existente

Una vez que hayas creado un nivel de acceso, puedes aplicarlo a un perímetro de servicio para controlar el acceso.

Después de actualizar un perímetro de servicio, es posible que los cambios demoren hasta 30 minutos en propagarse y surtir efecto.

Console

  1. En el menú de navegación de Google Cloud Console, haga clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. En la página Controles del servicio de VPC, en la tabla, haga clic en el nombre del perímetro de servicio que desea modificar.

  3. En la página Editar perímetro del servicio de VPC, haga clic en el cuadro Elegir nivel de acceso.

  4. Seleccione las casillas de verificación correspondientes a los niveles de acceso que desea aplicar al perímetro de servicio.

  5. Haga clic en Save.

gcloud

Para agregar un nivel de acceso a un perímetro de servicio existente, usa el comando update:

gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-access-levels=LEVEL_NAME \
      --policy=POLICY_NAME
    

Aquí:

  • PERIMETER_NAME es el nombre del perímetro de servicio.

  • LEVEL_NAME es el nombre del nivel de acceso que desea agregar al perímetro.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Cómo borrar un perímetro de servicio

Cuando borras un perímetro de servicio, los controles de seguridad asociados con el perímetro ya no se aplican a los proyectos de Google Cloud asociados. No hay ningún otro impacto para los proyectos miembros de Google Cloud o los recursos asociados.

Console

  1. En el menú de navegación de Google Cloud Console, haga clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. En la página Controles del servicio de VPC, en la fila de la tabla del perímetro que deseas borrar, haz clic en el botón .

gcloud

Para borrar un perímetro de servicio, usa el comando delete:

gcloud access-context-manager perimeters delete PERIMETER_NAME \
      --policy=POLICY_NAME
    

Aquí:

  • PERIMETER_NAME es el nombre del perímetro de servicio.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019