Gérer les périmètres de service

Cette page explique comment gérer les périmètres de service dans VPC Service Controls. Pour en savoir plus sur la création de périmètres de service, consultez la section Créer des périmètres de service.

Avant de commencer

Si vous utilisez l'outil de ligne de commande gcloud ou l'API Access Context Manager pour gérer vos périmètres de service, vous devez connaître le nom de la règle d'accès de votre organisation. Consultez la documentation d'Access Context Manager pour découvrir comment l'obtenir.

Répertorier et décrire les périmètres de service

Pour répertorier les périmètres de service d'une organisation, procédez comme suit :

Console

  1. Dans le menu de navigation de Google Cloud Console, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. Sur la page VPC Service Controls, dans le tableau, cliquez sur le nom du périmètre de service que vous souhaitez afficher.

gcloud

Pour répertorier les périmètres de service de votre organisation, utilisez la commande list :

gcloud access-context-manager perimeters list \
      --policy=POLICY_NAME
    

Où :

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

La liste des périmètres de votre organisation devrait apparaître. Exemple :

    NAME           TITLE
    ProdPerimeter  Production Perimeter
    

Pour afficher des détails d'un périmètre de service, utilisez la commande describe :

gcloud access-context-manager perimeters \
      describe PERIMETER_NAME \
      --policy=POLICY_NAME
    

Où :

  • PERIMETER_NAME est le nom du périmètre de service sur lequel vous souhaitez obtenir des informations.

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

Les détails du périmètre devraient s'afficher. Exemple :

    accessLevels:
    - accessPolicies/626111171578/accessLevels/corpAccess
    resources:
    - projects/111584792408
    restrictedServices:
    - bigquery.googleapis.com
    - storage.googleapis.com
    title: Production Perimeter
    

Mettre à jour un périmètre de service

Vous pouvez ajouter des projets Google Cloud à un périmètre de service ou en supprimer. Vous pouvez modifier la liste des services Google Cloud limités ou même modifier le titre et la description d'un périmètre de service. Pour ce faire, vous devez fournir la liste complète des ressources.

Après la mise à jour d'un périmètre de service, la propagation et la prise en compte des modifications peuvent prendre jusqu'à 30 minutes.

Console

  1. Dans le menu de navigation de Google Cloud Console, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. Sur la page VPC Service Controls, dans le tableau, cliquez sur le nom du périmètre de service que vous souhaitez modifier.

  3. Sur la page Modifier le périmètre de service VPC, mettez à jour le périmètre de service.

  4. Cliquez sur Save.

gcloud

Pour ajouter des projets à un périmètre, utilisez la commande update et spécifiez les ressources à ajouter :

gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-resources=PROJECTS \
      --policy=POLICY_NAME
    

Où :

  • PERIMETER_NAME est le nom du périmètre de service sur lequel vous souhaitez obtenir des informations.

  • PROJECTS est une liste d'ID de projets séparés par une virgule. Par exemple, projects/100712 ou projects/100712,projects/233130.

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

Pour mettre à jour la liste des services limités, exécutez la commande update et spécifiez les services à ajouter en tant que liste délimitée par des virgules :

gcloud access-context-manager perimeters update PERIMETER_ID \
      --add-restricted-services=SERVICES \
      --policy=POLICY_NAME
    

Où :

  • PERIMETER_NAME est le nom du périmètre de service sur lequel vous souhaitez obtenir des informations.

  • SERVICES est une liste de services séparés par une virgule. Par exemple, storage.googleapis.com ou storage.googleapis.com,bigquery.googleapis.com.

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

Ajouter un niveau d'accès à un périmètre existant

Une fois que vous avez créé un niveau d'accès, vous pouvez l'appliquer à un périmètre de service afin de contrôler l'accès.

Après la mise à jour d'un périmètre de service, la propagation et la prise en compte des modifications peuvent prendre jusqu'à 30 minutes.

Console

  1. Dans le menu de navigation de Google Cloud Console, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. Sur la page VPC Service Controls, dans le tableau, cliquez sur le nom du périmètre de service que vous souhaitez modifier.

  3. Sur la page Modifier le périmètre de service VPC, cliquez sur Choisir le niveau d'accès.

  4. Cochez les cases correspondant aux niveaux d'accès que vous souhaitez appliquer au périmètre de service.

  5. Cliquez sur Save.

gcloud

Pour ajouter un niveau d'accès à un périmètre de service existant, utilisez la commande update :

gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-access-levels=LEVEL_NAME \
      --policy=POLICY_NAME
    

Où :

  • PERIMETER_NAME est le nom de votre périmètre de service.

  • LEVEL_NAME est le nom du niveau d'accès que vous souhaitez ajouter au périmètre.

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

Supprimer un périmètre de service

Lorsque vous supprimez un périmètre de service, les contrôles de sécurité associés au périmètre ne s'appliquent plus aux projets Google Cloud associés. Il n'y a aucun autre impact sur les projets Google Cloud membres ni sur les ressources associées.

Console

  1. Dans le menu de navigation de Google Cloud Console, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. Sur la page VPC Service Controls, dans la ligne du tableau correspondant au périmètre que vous souhaitez supprimer, cliquez sur le bouton .

gcloud

Pour supprimer un périmètre de service, utilisez la commande delete :

gcloud access-context-manager perimeters delete PERIMETER_NAME \
      --policy=POLICY_NAME
    

Où :

  • PERIMETER_NAME est le nom de votre périmètre de service.

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019