Para definir os serviços que podem ser acessados de uma rede dentro do perímetro de serviço, use o recurso Serviços acessíveis pela VPC. O recurso de serviços acessíveis pela VPC limita o conjunto de serviços acessíveis de endpoints da rede dentro do perímetro de serviço.
O recurso de serviços acessíveis pela VPC é usado apenas no tráfego dos seus endpoints de rede VPC para as APIs do Google. Ao contrário dos perímetros de serviço, o recurso de serviços acessíveis pela VPC não é usado na comunicação entre APIs do Google nem nas redes de unidades de locação, que são usadas para implementar determinados serviços Google Cloud .
Ao configurar os serviços acessíveis pela VPC em um perímetro, é possível especificar uma
lista de serviços individuais e incluir o valor RESTRICTED-SERVICES,
que contém automaticamente todos os serviços protegidos pelo
perímetro.
Para garantir que o acesso aos serviços esperados seja totalmente limitado, você precisa:
configurar o perímetro para proteger o mesmo conjunto de serviços que você quer tornar acessível;
configurar VPCs no perímetro para usar o VIP restrito;
usar firewalls de camada 3.
Exemplo: rede VPC somente com acesso ao Cloud Storage
Suponha que você tenha um perímetro de serviço, my-authorized-perimeter, com
dois projetos: my-authorized-compute-project e my-authorized-gcs-project.
O perímetro protege o serviço do Cloud Storage.
O my-authorized-gcs-project usa vários serviços, incluindo o Cloud Storage, o Bigtable e outros.
my-authorized-compute-project hospeda uma rede VPC.
Como os dois projetos compartilham um perímetro, a rede VPC em
my-authorized-compute-project tem acesso aos recursos dos serviços em
my-authorized-gcs-project, sem considerar se o perímetro protege ou não esses
serviços. No entanto, você quer que a rede VPC tenha
acesso apenas aos recursos do Cloud Storage em my-authorized-gcs-project.
Sua preocupação é que, se as credenciais de uma VM na rede VPC forem
roubadas, um adversário possa usar essa VM para exfiltrar dados de qualquer
serviço disponível em my-authorized-gcs-project.
Você já configurou sua rede VPC para usar o VIP restrito, limitando
o acesso da rede VPC apenas a APIs compatíveis com o
VPC Service Controls. Infelizmente, isso não impede que sua rede VPC
acesse serviços compatíveis, como os recursos do Bigtable
em my-authorized-gcs-project.
Para limitar o acesso da rede VPC apenas ao serviço de armazenamento, ative
os serviços acessíveis da VPC e defina storage.googleapis.com como um serviço permitido:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Pronto. A rede VPC em my-authorized-compute-project agora está com acesso limitado
apenas aos recursos do serviço Cloud Storage. Essa
restrição também é válida para todos os projetos e as redes VPC que você adicionar posteriormente
ao perímetro.