Para definir los servicios a los que se puede acceder desde una red dentro de tu perímetro de servicio, usa la función Servicios accesibles de VPC. La función de servicios accesibles de VPC limita el conjunto de servicios a los que se puede acceder desde los endpoints de red que se encuentran dentro de tu perímetro de servicio.
La función de servicios accesibles de VPC solo se aplica al tráfico de los endpoints de tu red VPC a las APIs de Google. A diferencia de los perímetros de servicio, la función de servicios accesibles de VPC no se aplica a la comunicación de una API de Google a otra, ni a las redes de las unidades de arrendamiento, que se usan para implementar determinados Google Cloud servicios.
Cuando configures los servicios accesibles de VPC para un perímetro, puedes especificar una lista de servicios concretos, así como incluir el valor RESTRICTED-SERVICES, que incluye automáticamente todos los servicios protegidos por el perímetro.
Para asegurarte de que el acceso a los servicios esperados esté totalmente limitado, debes hacer lo siguiente:
Configura el perímetro para proteger el mismo conjunto de servicios al que quieras dar acceso.
Configura las VPCs del perímetro para usar la IP virtual restringida.
Usa cortafuegos de capa 3.
Ejemplo: red de VPC con acceso solo a Cloud Storage
Supongamos que tienes un perímetro de servicio, my-authorized-perimeter, que incluye dos proyectos: my-authorized-compute-project y my-authorized-gcs-project.
El perímetro protege el servicio Cloud Storage.
my-authorized-gcs-project usa varios servicios, como Cloud Storage y Bigtable, entre otros.
my-authorized-compute-project aloja una red de VPC.
Como los dos proyectos comparten un perímetro, la red de VPC de my-authorized-compute-project tiene acceso a los recursos de los servicios de my-authorized-gcs-project, independientemente de si el perímetro protege esos servicios. Sin embargo, quieres que tu red de VPC solo tenga acceso a los recursos de Cloud Storage de my-authorized-gcs-project.
Te preocupa que, si se roban las credenciales de una VM de tu red VPC, un atacante pueda aprovechar esa VM para extraer datos de cualquier servicio disponible en my-authorized-gcs-project.
Ya has configurado tu red VPC para que use la IP virtual restringida, lo que limita el acceso desde tu red VPC solo a las APIs compatibles con Controles de Servicio de VPC. Lamentablemente, esto no impide que tu red de VPC acceda a los servicios admitidos, como los recursos de Bigtable en my-authorized-gcs-project.
Para limitar el acceso de la red de VPC solo al servicio de almacenamiento, habilita los servicios accesibles de VPC y define storage.googleapis.com como servicio permitido:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
¡Listo! La red de VPC de my-authorized-compute-project ahora solo puede acceder a los recursos del servicio Cloud Storage. Esta restricción también se aplica a los proyectos y las redes de VPC que añadas posteriormente al perímetro.