Gestisci i perimetri di servizio

Questa pagina descrive come gestire i perimetri di servizio in Controlli di servizio VPC. Per maggiori dettagli sulla creazione di nuovi perimetri di servizio, consulta Creazione dei perimetri di servizio.

Questa pagina include le seguenti sezioni:

Prima di iniziare

Elenca e descrivi i perimetri di servizio

Elenca tutti i perimetri di servizio in un'organizzazione:

Console

  1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.

    Vai alla pagina Controlli di servizio VPC

  2. Nella pagina Controlli di servizio VPC della tabella, fai clic sul nome del perimetro di servizio che vuoi visualizzare.

gcloud

Per elencare i perimetri di servizio della tua organizzazione, utilizza il comando list:

gcloud access-context-manager perimeters list \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Dovresti visualizzare un elenco dei perimetri della tua organizzazione. Ad esempio:

NAME           TITLE
ProdPerimeter  Production Perimeter

Per visualizzare i dettagli di un perimetro di servizio, utilizza il comando describe:

gcloud access-context-manager perimeters \
  describe PERIMETER_ID \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio per il quale vuoi ottenere dettagli.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Dovresti vedere i dettagli del perimetro. Ad esempio:

accessLevels:
- accessPolicies/626111171578/accessLevels/corpAccess
resources:
- projects/111584792408
restrictedServices:
- bigquery.googleapis.com
- storage.googleapis.com
title: Production Perimeter

Elenca perimetri di servizio (formattato)

Utilizzando lo strumento a riga di comando gcloud, puoi ottenere un elenco dei tuoi perimetri di servizio in formato YAML o JSON.

Per ottenere un elenco formattato dei perimetri, utilizza il comando list.

gcloud access-context-manager perimeters list \
  --format=FORMAT \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • FORMAT è uno dei seguenti valori:

    • list (formato YAML)

    • json (formato JSON)

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

L'output seguente è un elenco di esempio in formato YAML:

- name: accessPolicies/165717541651/servicePerimeters/On_Prem
  status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']}
  title: On Prem
- name: accessPolicies/165717541651/servicePerimeters/Private
  spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']}
  status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']}
  title: Private
  useExplicitDryRunSpec: True
- name: accessPolicies/165717541651/servicePerimeters/OnpremBridge
  perimeterType: PERIMETER_TYPE_BRIDGE
  status: {'resources': ['projects/167410821371']}
  title: OnpremBridge

Il seguente output è un elenco di esempio in formato JSON:

[
  {
    "name": "accessPolicies/165717541651/servicePerimeters/On_Prem",
    "status": {
      "resources": [
        "projects/167410821371"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com"
      ]
    },
    "title": "On Prem"
  },
  {
    "name": "accessPolicies/165717541651/servicePerimeters/Private",
    "spec": {
      "resources": [
        "projects/136109111311"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com",
        "logging.googleapis.com"
      ]
    },
    "status": {
      "resources": [
        "projects/136109111311",
        "projects/401921913171"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com"
      ]
    },
    "title": "Private",
    "useExplicitDryRunSpec": true
  },
  {
    "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge",
    "perimeterType": "PERIMETER_TYPE_BRIDGE",
    "status": {
      "resources": [
        "projects/167410821371"
      ]
    },
    "title": "OnpremBridge"
  }
]

Aggiorna un perimetro di servizio

Questa sezione descrive come aggiornare i singoli perimetri di servizio. Per aggiornare tutti i perimetri di servizio della tua organizzazione in un'unica operazione, consulta Apportare modifiche collettive ai perimetri di servizio.

Per aggiornare un perimetro di servizio, puoi eseguire le seguenti attività:

Dopo aver aggiornato un perimetro di servizio, potrebbe essere necessario attendere fino a 30 minuti prima che le modifiche vengano propagate e applicate. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.

Console

  1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.

    Vai alla pagina Controlli di servizio VPC

  2. Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio da modificare.

  3. Nella pagina Modifica perimetro di servizio VPC, aggiorna il perimetro di servizio.

  4. Fai clic su Salva.

gcloud

Per aggiungere nuove risorse a un perimetro, utilizza il comando update e specifica le risorse da aggiungere:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-resources=RESOURCES \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio per il quale vuoi ottenere dettagli.

  • RESOURCES è un elenco separato da virgole di uno o più numeri di progetto o nomi di rete VPC. Ad esempio: projects/12345 o //compute.googleapis.com/projects/my-project/global/networks/vpc1. Sono consentiti solo progetti e reti VPC. Formato del progetto: projects/project_number. Formato VPC: //compute.googleapis.com/projects/project-id/global/networks/network_name.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Per aggiornare l'elenco dei servizi con restrizioni, utilizza il comando update e specifica i servizi da aggiungere come elenco delimitato da virgole:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio per il quale vuoi ottenere dettagli.

  • SERVICES è un elenco delimitato da virgole di uno o più servizi. Ad esempio: storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Aggiungere un livello di accesso a un perimetro esistente

Dopo aver creato un livello di accesso, puoi applicarlo a un perimetro di servizio per controllare l'accesso.

Dopo aver aggiornato un perimetro di servizio, potrebbe essere necessario attendere fino a 30 minuti prima che le modifiche vengano propagate e applicate. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.

Console

  1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.

    Vai alla pagina Controlli di servizio VPC

  2. Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio da modificare.

  3. Nella pagina Modifica perimetro di servizio VPC, fai clic sulla casella Scegli livello di accesso.

  4. Seleziona le caselle di controllo corrispondenti ai livelli di accesso che vuoi applicare al perimetro di servizio.

  5. Fai clic su Salva.

gcloud

Per aggiungere un livello di accesso a un perimetro di servizio esistente, utilizza il comando update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-access-levels=LEVEL_NAME \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio.

  • LEVEL_NAME è il nome del livello di accesso che vuoi aggiungere al perimetro.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Elimina un perimetro di servizio

Quando elimini un perimetro di servizio, i controlli di sicurezza associati al perimetro non vengono più applicati ai progetti Google Cloud associati. Non ci saranno altri effetti sui progetti Google Cloud o sulle risorse associate.

Console

  1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.

    Vai alla pagina Controlli di servizio VPC

  2. Nella pagina Controlli di servizio VPC, fai clic su nella riga della tabella corrispondente al perimetro da eliminare.

gcloud

Per eliminare un perimetro di servizio, utilizza il comando delete:

gcloud access-context-manager perimeters delete PERIMETER_ID \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Limita l'accesso ai servizi all'interno di un perimetro con servizi accessibili da VPC

Questa sezione descrive come abilitare, aggiungere, rimuovere e disabilitare i servizi accessibili da VPC.

Puoi utilizzare la funzionalità dei servizi accessibili da VPC per limitare l'insieme di servizi accessibili dagli endpoint di rete all'interno del tuo perimetro di servizio. Puoi aggiungere servizi accessibili da VPC ai perimetri di servizio, ma non ai bridge del perimetro.

Per saperne di più sulla funzionalità dei servizi accessibili da VPC, consulta la pagina relativa ai servizi accessibili VPC.

Abilita i servizi accessibili da VPC

Per abilitare i servizi accessibili da VPC per il tuo perimetro di servizio, utilizza il comando seguente:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=SERVICES \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio.

  • SERVICES è un elenco separato da virgole di uno o più servizi a cui vuoi consentire l'accesso alle reti all'interno del tuo perimetro. L'accesso a qualsiasi servizio non incluso in questo elenco è impedito.

    Per includere rapidamente i servizi protetti dal perimetro, aggiungi RESTRICTED-SERVICES all'elenco di SERVICES. Puoi includere altri servizi oltre a RESTRICTED-SERVICES.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Ad esempio, per assicurarti che le reti VPC nel tuo perimetro abbiano accesso solo ai servizi Logging e Cloud Storage, utilizza il comando seguente:

gcloud access-context-manager perimeters update example_perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
  --policy=11271009391

Aggiungi un servizio ai servizi accessibili da VPC

Per aggiungere ulteriori servizi ai servizi accessibili da VPC per il perimetro, utilizza il comando seguente:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-vpc-allowed-services=SERVICES \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio.

  • SERVICES è un elenco separato da virgole di uno o più servizi a cui vuoi consentire l'accesso alle reti all'interno del tuo perimetro.

    Per includere rapidamente i servizi protetti dal perimetro, aggiungi RESTRICTED-SERVICES all'elenco di SERVICES. Puoi includere servizi separati oltre a RESTRICTED-SERVICES.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Ad esempio, se abiliti i servizi accessibili da VPC e richiedi che le reti VPC nel tuo perimetro abbiano accesso al servizio Pub/Sub, utilizza il seguente comando:

gcloud access-context-manager perimeters update example_perimeter \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
  --policy=11271009391

Rimuovi un servizio dai servizi accessibili da VPC

Per rimuovere i servizi dai servizi accessibili da VPC per il tuo perimetro di servizio, utilizza il seguente comando:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --remove-vpc-allowed-services=SERVICES \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio.

  • SERVICES è un elenco separato da virgole di uno o più servizi che vuoi rimuovere dall'elenco dei servizi a cui le reti all'interno del tuo perimetro di servizio sono autorizzate ad accedere.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Ad esempio, se abiliti i servizi accessibili da VPC e non vuoi più che le reti VPC nel tuo perimetro abbiano accesso al servizio Cloud Storage, utilizza il seguente comando:

gcloud access-context-manager perimeters update example_perimeter \
  --remove-vpc-allowed-services=storage.googleapis.com \
  --policy=11271009391

Disabilita i servizi accessibili da VPC

Per disabilitare le limitazioni di servizio VPC per il tuo perimetro di servizio, utilizza il comando seguente:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services \
  [--policy=POLICY_ID]

Sostituisci quanto segue:

  • PERIMETER_ID è l'ID del perimetro di servizio.

  • POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Ad esempio, per disabilitare le limitazioni di servizio VPC per example_perimeter, utilizza il seguente comando:

gcloud access-context-manager perimeters update example_perimeter \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services \
  --policy=11271009391

Servizi accessibili VPC e API Access Context Manager

Puoi anche utilizzare l'API Access Context Manager per gestire i servizi accessibili da VPC. Quando crei o modifichi un perimetro di servizio, utilizza l'oggetto ServicePerimeterConfig nel corpo della risposta per configurare i servizi accessibili da VPC.