Halaman ini menjelaskan cara mengelola perimeter layanan di Kontrol Layanan VPC. Untuk mengetahui detail tentang cara membuat perimeter layanan baru, lihat Membuat perimeter layanan.
Halaman ini mencakup bagian-bagian berikut:
Sebelum memulai
Tetapkan kebijakan akses default untuk menggunakan alat command line
gcloud
.-atau-
Dapatkan nama kebijakan Anda. Nama kebijakan diperlukan untuk perintah yang menggunakan alat command line
gcloud
dan melakukan panggilan API. Jika menetapkan kebijakan akses default, Anda tidak perlu menentukan kebijakan untuk alat command linegcloud
.
Mencantumkan dan mendeskripsikan perimeter layanan
Mencantumkan semua perimeter layanan di organisasi:
Konsol
Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.
Di halaman Kontrol Layanan VPC, di tabel, klik nama perimeter layanan yang ingin Anda lihat.
gcloud
Untuk mencantumkan perimeter layanan organisasi Anda, gunakan perintah list
:
gcloud access-context-manager perimeters list
Anda akan melihat daftar perimeter untuk organisasi Anda. Contoh:
NAME TITLE ETAG ProdPerimeter Production Perimeter abcdefg123456789
Untuk melihat detail tentang perimeter layanan, gunakan perintah describe
:
gcloud access-context-manager perimeters \
describe PERIMETER_ID
Ganti kode berikut:
- PERIMETER_ID adalah ID perimeter layanan yang detailnya ingin Anda dapatkan.
Anda akan melihat detail tentang perimeter. Contoh:
etag: abcdefg123456789 name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter status: accessLevels: - accessPolicies/626111171578/accessLevels/corpAccess resources: - projects/111584792408 restrictedServices: - bigquery.googleapis.com - storage.googleapis.com title: Production Perimeter
Mencantumkan perimeter layanan (diformat)
Dengan menggunakan alat command line gcloud
, Anda bisa mendapatkan daftar perimeter layanan dalam format YAML atau
JSON.
Untuk mendapatkan daftar perimeter yang diformat, gunakan perintah list
:
gcloud access-context-manager perimeters list \ --format=FORMAT
Ganti kode berikut:
FORMAT adalah salah satu nilai berikut:
list
(format YAML)json
(format JSON)
Output berikut adalah contoh daftar dalam format YAML:
- etag: abcdefg123456789 name: accessPolicies/165717541651/servicePerimeters/On_Prem status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']} title: On Prem - etag: hijklmn987654321 name: accessPolicies/165717541651/servicePerimeters/Private spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']} status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']} title: Private useExplicitDryRunSpec: True - etag: pqrstuv123456789 name: accessPolicies/165717541651/servicePerimeters/OnpremBridge perimeterType: PERIMETER_TYPE_BRIDGE status: {'resources': ['projects/167410821371']} title: OnpremBridge
Output berikut adalah contoh daftar dalam format JSON:
[ { "etag": "abcdefg123456789", "name": "accessPolicies/165717541651/servicePerimeters/On_Prem", "status": { "resources": [ "projects/167410821371" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com" ] }, "title": "On Prem" }, { "etag": "hijklmn987654321", "name": "accessPolicies/165717541651/servicePerimeters/Private", "spec": { "resources": [ "projects/136109111311" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com", "logging.googleapis.com" ] }, "status": { "resources": [ "projects/136109111311", "projects/401921913171" ], "restrictedServices": [ "bigquery.googleapis.com" ] }, "title": "Private", "useExplicitDryRunSpec": true }, { "etag": "pqrstuv123456789", "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge", "perimeterType": "PERIMETER_TYPE_BRIDGE", "status": { "resources": [ "projects/167410821371" ] }, "title": "OnpremBridge" } ]
Memperbarui perimeter layanan
Bagian ini menjelaskan cara memperbarui setiap perimeter layanan. Untuk memperbarui semua perimeter layanan organisasi Anda dalam satu operasi, lihat Melakukan perubahan massal pada perimeter layanan.
Anda dapat melakukan tugas berikut untuk memperbarui perimeter layanan:
- Menambahkan project Google Cloud baru atau menghapus project dari perimeter layanan.
- Mengubah daftar layanan Google Cloud yang dibatasi. Anda juga dapat mengubah judul dan deskripsi untuk perimeter layanan.
- Mengaktifkan, menambahkan, menghapus, atau menonaktifkan layanan yang dapat diakses VPC.
- Perbarui kebijakan traffic masuk dan keluar.
Setelah Anda memperbarui perimeter layanan, perlu waktu hingga 30 menit agar
perubahan diterapkan dan berlaku. Selama waktu ini, perimeter mungkin memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.
Di halaman Kontrol Layanan VPC, di tabel, klik nama perimeter layanan yang ingin Anda ubah.
Di halaman Edit VPC Service Perimeter, perbarui perimeter layanan.
Klik Simpan.
gcloud
Untuk menambahkan resource baru ke perimeter, gunakan perintah update
dan tentukan
resource yang akan ditambahkan:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-resources=RESOURCES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan yang detailnya ingin Anda dapatkan.
RESOURCES adalah daftar yang dipisahkan koma dari satu atau beberapa nomor project atau nama jaringan VPC. Misalnya:
projects/12345
atau//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Hanya project dan jaringan VPC yang diizinkan. Format project:projects/project_number
. Format VPC://compute.googleapis.com/projects/project-id/global/networks/network_name
.
Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah update
dan
tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-restricted-services=SERVICES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan yang detailnya ingin Anda dapatkan.
SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan. Misalnya:
storage.googleapis.com
ataustorage.googleapis.com,bigquery.googleapis.com
.
Menambahkan tingkat akses ke perimeter yang ada
Setelah membuat tingkat akses, Anda dapat menerapkannya ke perimeter layanan untuk mengontrol akses.
Setelah Anda memperbarui perimeter layanan, perlu waktu hingga 30 menit agar
perubahan diterapkan dan berlaku. Selama waktu ini, perimeter mungkin memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.
Di halaman Kontrol Layanan VPC, di tabel, klik nama perimeter layanan yang ingin Anda ubah.
Di halaman Edit VPC Service Perimeter, klik kotak Choose Access Level.
Pilih kotak centang yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter layanan.
Klik Simpan.
gcloud
Untuk menambahkan tingkat akses ke perimeter layanan yang ada, gunakan
perintah update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-access-levels=LEVEL_NAME
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
LEVEL_NAME adalah nama tingkat akses yang ingin Anda tambahkan ke perimeter.
Untuk informasi selengkapnya tentang cara menggunakan tingkat akses dengan perimeter, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.
Menghapus perimeter layanan
Saat Anda menghapus perimeter layanan, kontrol keamanan yang terkait dengan perimeter tidak lagi berlaku untuk project Google Cloud terkait. Tidak ada dampak lain terhadap project Google Cloud anggota atau resource terkait.
Konsol
Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.
Di halaman VPC Service Controls, di baris tabel yang sesuai dengan perimeter yang ingin Anda hapus, klik
.
gcloud
Untuk menghapus perimeter layanan, gunakan perintah delete
:
gcloud access-context-manager perimeters delete PERIMETER_ID
Ganti kode berikut:
- PERIMETER_ID adalah ID perimeter layanan Anda.
Membatasi akses ke layanan di dalam perimeter dengan layanan yang dapat diakses VPC
Bagian ini menjelaskan cara mengaktifkan, menambahkan, menghapus, dan menonaktifkan layanan yang dapat diakses VPC.
Anda dapat menggunakan fitur layanan yang dapat diakses VPC untuk membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda. Anda dapat menambahkan layanan yang dapat diakses VPC ke perimeter layanan, tetapi tidak ke bridge perimeter.
Untuk mempelajari lebih lanjut fitur layanan yang dapat diakses VPC, baca artikel tentang layanan yang dapat diakses VPC.
Mengaktifkan layanan yang dapat diakses VPC
Untuk mengaktifkan layanan yang dapat diakses VPC untuk perimeter layanan Anda, gunakan perintah update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=SERVICES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan yang ingin Anda izinkan untuk diakses oleh jaringan di dalam perimeter Anda. Akses ke layanan apa pun yang tidak disertakan dalam daftar ini akan dicegah.
Untuk menyertakan layanan yang dilindungi oleh perimeter dengan cepat, tambahkan
RESTRICTED-SERVICES
ke daftar untuk SERVICES. Anda dapat menyertakan layanan lain selainRESTRICTED-SERVICES
.
Misalnya, untuk memastikan bahwa jaringan VPC di perimeter Anda hanya memiliki akses ke layanan Logging dan Cloud Storage, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
--policy=11271009391
Menambahkan layanan ke layanan yang dapat diakses VPC
Untuk menambahkan layanan tambahan ke layanan yang dapat diakses VPC untuk
perimeter Anda, gunakan perintah update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-vpc-allowed-services=SERVICES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan yang ingin Anda izinkan untuk diakses oleh jaringan di dalam perimeter Anda.
Untuk menyertakan layanan yang dilindungi oleh perimeter dengan cepat, tambahkan
RESTRICTED-SERVICES
ke daftar untuk SERVICES. Anda dapat menyertakan layanan terpisah selainRESTRICTED-SERVICES
.
Misalnya, jika Anda mengaktifkan layanan yang dapat diakses VPC dan mewajibkan jaringan VPC di perimeter Anda memiliki akses ke layanan Pub/Sub, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
--policy=11271009391
Menghapus layanan dari layanan yang dapat diakses VPC
Untuk menghapus layanan dari layanan yang dapat diakses VPC untuk perimeter layanan Anda,
gunakan perintah update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--remove-vpc-allowed-services=SERVICES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar satu atau beberapa layanan yang dipisahkan koma yang ingin Anda hapus dari daftar layanan yang diizinkan untuk diakses oleh jaringan di dalam perimeter layanan Anda.
Misalnya, jika Anda mengaktifkan layanan yang dapat diakses VPC dan tidak ingin lagi jaringan VPC di perimeter Anda memiliki akses ke layanan Cloud Storage, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--remove-vpc-allowed-services=storage.googleapis.com \
--policy=11271009391
Menonaktifkan layanan yang dapat diakses VPC
Untuk menonaktifkan batasan layanan VPC untuk perimeter layanan Anda, gunakan
perintah update
:
gcloud access-context-manager perimeters update PERIMETER_ID \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services
Ganti kode berikut:
- PERIMETER_ID adalah ID perimeter layanan Anda.
Misalnya, untuk menonaktifkan batasan layanan VPC untuk example_perimeter
,
gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
--policy=11271009391
Layanan yang dapat diakses VPC dan Access Context Manager API
Anda juga dapat menggunakan Access Context Manager API untuk mengelola layanan yang dapat diakses VPC.
Saat membuat atau mengubah perimeter layanan, gunakan
objek ServicePerimeterConfig
dalam isi respons untuk
mengonfigurasi layanan yang dapat diakses VPC Anda.