Para definir os serviços que podem ser acessados de uma rede dentro do perímetro de serviço, use o recurso Serviços acessíveis pela VPC. O recurso de serviços acessíveis pela VPC limita o conjunto de serviços acessíveis de endpoints da rede dentro do perímetro de serviço.
O recurso de serviços acessíveis pela VPC é usado apenas no tráfego dos seus endpoints de rede VPC para as APIs do Google. Ao contrário dos perímetros de serviço, o recurso de serviços acessíveis pela VPC não é usado na comunicação entre APIs do Google nem nas redes de unidades de locação, que são usadas para implementar determinados serviços do Google Cloud.
Ao configurar os serviços acessíveis pela VPC em um perímetro, é possível especificar uma
lista de serviços individuais e incluir o valor RESTRICTED-SERVICES,
que contém automaticamente todos os serviços protegidos pelo
perímetro.
Para garantir que o acesso aos serviços esperados seja totalmente limitado, você precisa:
configurar o perímetro para proteger o mesmo conjunto de serviços que você quer tornar acessível;
configurar VPCs no perímetro para usar o VIP restrito;
usar firewalls de camada 3.
Exemplo: rede VPC somente com acesso ao Cloud Storage
Suponha que você tenha um perímetro de serviço, my-authorized-perimeter, com
dois projetos: my-authorized-compute-project e my-authorized-gcs-project.
O perímetro protege o serviço do Cloud Storage.
O my-authorized-gcs-project usa vários serviços, incluindo
Cloud Storage, Bigtable, entre outros.
my-authorized-compute-project hospeda uma rede VPC.
Como os dois projetos compartilham um perímetro, a rede VPC em
my-authorized-compute-project tem acesso aos recursos dos serviços em
my-authorized-gcs-project, sem considerar se o perímetro protege ou não esses
serviços. No entanto, você quer que a rede VPC tenha
acesso apenas aos recursos do Cloud Storage em my-authorized-gcs-project.
Sua preocupação é que, se as credenciais de uma VM na rede VPC forem
roubadas, um adversário possa usar essa VM para exfiltrar dados de qualquer
serviço disponível em my-authorized-gcs-project.
Você já configurou sua rede VPC para usar o VIP restrito, limitando
o acesso da rede VPC apenas a APIs compatíveis com o
VPC Service Controls. Infelizmente, isso não impede que sua rede VPC
acesse serviços compatíveis, como os recursos do Bigtable
em my-authorized-gcs-project.
Para limitar o acesso da rede VPC apenas ao serviço de armazenamento, ative
os serviços acessíveis da VPC e defina storage.googleapis.com como um serviço permitido:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Pronto. A rede VPC em my-authorized-compute-project agora está com acesso limitado
apenas aos recursos do serviço Cloud Storage. Essa
restrição também é válida para todos os projetos e as redes VPC que você adicionar posteriormente
ao perímetro.