In questa pagina viene descritto come gestire i perimetri di servizio nei Controlli di servizio VPC. Per informazioni dettagliate sulla creazione di nuovi perimetri di servizio, consulta Creazione dei perimetri di servizio.
Questa pagina include le seguenti sezioni:
Prima di iniziare
Imposta il criterio di accesso predefinito per utilizzare lo strumento a riga di comando
gcloud.oppure
Assegna un nome alle norme. Il nome del criterio è obbligatorio per i comandi che utilizzano lo strumento a riga di comando
gclouded effettuano chiamate API. Se imposti un criterio di accesso predefinito, non è necessario specificare il criterio per lo strumento a riga di comandogcloud.
Elenca e descrivi i perimetri di servizio
Elenca tutti i perimetri di servizio di un'organizzazione:
Console
Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza e quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio che vuoi visualizzare.
gcloud
Per elencare i perimetri di servizio della tua organizzazione, utilizza il comando list:
gcloud access-context-manager perimeters list \
[--policy=POLICY_ID]
Sostituisci quanto segue:
- POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Dovresti visualizzare un elenco dei perimetri della tua organizzazione. Ad esempio:
NAME TITLE ProdPerimeter Production Perimeter
Per visualizzare i dettagli di un perimetro di servizio, utilizza il comando describe:
gcloud access-context-manager perimeters \
describe PERIMETER_ID \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio per il quale vuoi ottenere i dettagli.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Dovresti visualizzare i dettagli del perimetro. Ad esempio:
accessLevels: - accessPolicies/626111171578/accessLevels/corpAccess resources: - projects/111584792408 restrictedServices: - bigquery.googleapis.com - storage.googleapis.com title: Production Perimeter
Elenca perimetri di servizio (formattati)
Lo strumento a riga di comando gcloud consente di ottenere un elenco dei perimetri di servizio in formato YAML o
JSON.
Per visualizzare un elenco formattato dei perimetri, utilizza il comando list.
gcloud access-context-manager perimeters list \ --format=FORMAT \ [--policy=POLICY_ID]
Sostituisci quanto segue:
FORMAT è uno dei seguenti valori:
list(formato Java)json(formato JSON)
POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
L'output seguente è un elenco di esempio in formato YAML:
- name: accessPolicies/165717541651/servicePerimeters/On_Prem
status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']}
title: On Prem
- name: accessPolicies/165717541651/servicePerimeters/Private
spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']}
status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']}
title: Private
useExplicitDryRunSpec: True
- name: accessPolicies/165717541651/servicePerimeters/OnpremBridge
perimeterType: PERIMETER_TYPE_BRIDGE
status: {'resources': ['projects/167410821371']}
title: OnpremBridge
Il seguente output è un elenco di esempio in formato JSON:
[
{
"name": "accessPolicies/165717541651/servicePerimeters/On_Prem",
"status": {
"resources": [
"projects/167410821371"
],
"restrictedServices": [
"bigquery.googleapis.com",
"storage.googleapis.com"
]
},
"title": "On Prem"
},
{
"name": "accessPolicies/165717541651/servicePerimeters/Private",
"spec": {
"resources": [
"projects/136109111311"
],
"restrictedServices": [
"bigquery.googleapis.com",
"storage.googleapis.com",
"logging.googleapis.com"
]
},
"status": {
"resources": [
"projects/136109111311",
"projects/401921913171"
],
"restrictedServices": [
"bigquery.googleapis.com"
]
},
"title": "Private",
"useExplicitDryRunSpec": true
},
{
"name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge",
"perimeterType": "PERIMETER_TYPE_BRIDGE",
"status": {
"resources": [
"projects/167410821371"
]
},
"title": "OnpremBridge"
}
]
Aggiornamento di un perimetro di servizio
Questa sezione descrive come aggiornare i singoli perimetri di servizio. Per aggiornare tutti i perimetri di servizio della tua organizzazione in un'unica operazione, vedi Apportare modifiche collettive ai perimetri di servizio.
Per aggiornare un perimetro di servizio, puoi eseguire le attività seguenti:
- Aggiungi nuovi progetti Google Cloud o rimuovi progetti da un perimetro di servizio.
- Modifica l'elenco dei servizi Google Cloud con restrizioni. Puoi anche modificare il titolo e la descrizione di un perimetro di servizio.
- Attivare, aggiungere, rimuovere o disattivare i servizi accessibili da VPC.
- Aggiorna i criteri in entrata e in uscita.
Dopo aver aggiornato un perimetro di servizio, la propagazione delle modifiche e l'applicazione possono richiedere fino a 30 minuti.
Console
Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza e quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio che vuoi modificare.
Nella pagina Modifica perimetro di servizio VPC, aggiorna il perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere nuovi progetti a un perimetro, utilizza il comando update e specifica le risorse da aggiungere:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-resources=PROJECTS \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio per il quale vuoi ottenere i dettagli.
PROJECTS è un elenco delimitato da virgole di uno o più ID progetto. Ad esempio:
projects/100712oprojects/100712,projects/233130.POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Per aggiornare l'elenco dei servizi limitati, utilizza il comando update e specifica i servizi da aggiungere come elenco delimitato da virgole:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio per il quale vuoi ottenere i dettagli.
SERVICES è un elenco di uno o più servizi delimitati da virgole. Ad esempio:
storage.googleapis.comostorage.googleapis.com,bigquery.googleapis.com.POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Aggiunta di un livello di accesso a un perimetro esistente
Dopo aver creato un livello di accesso, puoi applicarlo a un perimetro di servizio per controllare l'accesso.
Dopo aver aggiornato un perimetro di servizio, la propagazione delle modifiche e l'applicazione possono richiedere fino a 30 minuti.
Console
Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza e quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio che vuoi modificare.
Nella pagina Modifica perimetro di servizio VPC, fai clic sulla casella Scegli il livello di accesso.
Seleziona le caselle di controllo corrispondenti ai livelli di accesso che vuoi applicare al perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere un livello di accesso a un perimetro di servizio esistente, utilizza il comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-access-levels=LEVEL_NAME \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro del servizio.
LEVEL_NAME è il nome del livello di accesso che vuoi aggiungere al perimetro.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Eliminazione di un perimetro di servizio
Quando elimini un perimetro di servizio, i controlli di sicurezza associati al perimetro non si applicano più ai progetti Google Cloud associati. Non vi è alcun altro impatto sui progetti Google Cloud membri o sulle risorse associate.
Console
Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza e quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, fai clic su nella riga della tabella corrispondente al perimetro da eliminare.
gcloud
Per eliminare un perimetro di servizio, utilizza il comando delete:
gcloud access-context-manager perimeters delete PERIMETER_ID \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro del servizio.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Limita l'accesso ai servizi all'interno di un perimetro con i servizi accessibili da VPC
Questa sezione descrive come abilitare, aggiungere, rimuovere e disabilitare i servizi accessibili da VPC.
Puoi utilizzare la funzionalità dei servizi accessibili da VPC per limitare il set di servizi accessibili dagli endpoint di rete all'interno del tuo perimetro di servizio. Puoi aggiungere servizi accessibili da VPC ai perimetri di servizio, ma non ai bridge del perimetro.
Per scoprire di più sulla funzionalità dei servizi accessibili da VPC, leggi l'articolo sui servizi accessibili da VPC.
Abilita servizi accessibili VPC
Per abilitare i servizi accessibili da VPC per il perimetro di servizio, utilizza il comando seguente:
gcloud access-context-manager perimeters update PERIMETER_ID \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=SERVICES \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro del servizio.
SERVICES è un elenco separato da virgole di uno o più servizi a cui vuoi consentire di accedere alle reti all'interno del tuo perimetro. L'accesso a tutti i servizi non inclusi in questo elenco è impedito.
Per includere rapidamente i servizi protetti dal perimetro, aggiungi
RESTRICTED-SERVICESall'elenco per SERVICES. Puoi includere altri servizi in aggiunta aRESTRICTED-SERVICES.POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Ad esempio, per assicurarti che le reti VPC nel tuo perimetro abbiano accesso solo ai servizi Logging e Cloud Storage, utilizza il comando seguente:
gcloud access-context-manager perimeters update example_perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
--policy=11271009391
Aggiungi un servizio ai servizi accessibili da VPC
Per aggiungere altri servizi ai servizi accessibili da VPC per il perimetro, utilizza il comando seguente:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-vpc-allowed-services=SERVICES \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro del servizio.
SERVICES è un elenco separato da virgole di uno o più servizi a cui vuoi consentire di accedere alle reti all'interno del tuo perimetro.
Per includere rapidamente i servizi protetti dal perimetro, aggiungi
RESTRICTED-SERVICESall'elenco per SERVICES. Puoi includere servizi separati oltre aRESTRICTED-SERVICES.POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Ad esempio, se abiliti servizi accessibili da VPC e richiedi che le reti VPC nel tuo perimetro abbiano accesso al servizio Pub/Sub, utilizza il seguente comando:
gcloud access-context-manager perimeters update example_perimeter \
--add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
--policy=11271009391
Rimuovi un servizio dai servizi accessibili VPC
Per rimuovere i servizi dai servizi accessibili da VPC per il perimetro di servizio, utilizza il comando seguente:
gcloud access-context-manager perimeters update PERIMETER_ID \
--remove-vpc-allowed-services=SERVICES \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro del servizio.
SERVICES è un elenco separato da virgole di uno o più servizi che vuoi rimuovere dall'elenco dei servizi a cui le reti all'interno del tuo perimetro di servizio sono autorizzate ad accedere.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Ad esempio, se abiliti i servizi accessibili da VPC e non vuoi più che le reti VPC nel tuo perimetro abbiano accesso al servizio Cloud Storage, utilizza il seguente comando:
gcloud access-context-manager perimeters update example_perimeter \
--remove-vpc-allowed-services=storage.googleapis.com \
--policy=11271009391
Disattiva i servizi accessibili da VPC
Per disabilitare le limitazioni dei servizi VPC per il perimetro di servizio, utilizza il comando seguente:
gcloud access-context-manager perimeters update PERIMETER_ID \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
[--policy=POLICY_ID]
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro del servizio.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.
Ad esempio, per disabilitare le restrizioni del servizio VPC per example_perimeter, utilizza il comando seguente:
gcloud access-context-manager perimeters update example_perimeter \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
--policy=11271009391
Servizi accessibili da VPC e l'API Access Context Manager
Puoi anche utilizzare l'API Access Context Manager per gestire i servizi accessibili da VPC.
Quando crei o modifichi un perimetro di servizio, utilizza l'oggetto ServicePerimeterConfig nel corpo della risposta per configurare i servizi accessibili da VPC.