Para definir los servicios a los que se puede acceder desde una red dentro del perímetro de servicio, usa la función servicios accesibles de VPC. La función de servicios accesibles de VPC limita el conjunto de servicios a los que se puede acceder desde extremos de red dentro del perímetro de servicio.
La función de servicios de VPC accesibles solo se aplica al tráfico desde los extremos de la red de VPC hacia las API de Google. A diferencia de los perímetros de servicio, la función de servicios accesibles de VPC no se aplica a la comunicación desde una API de Google hacia otra, o a las redes de unidades de usuario, que se usan para implementar ciertos servicios de Google Cloud.
Cuando configuras servicios accesibles de VPC para un perímetro, puedes especificar una lista de servicios individuales y el valor RESTRICTED-SERVICES, que incluye de forma automática todos los servicios protegidos por el perímetro.
Para asegurarte de que el acceso a los servicios esperados es completamente limitado, debes hacer lo siguiente:
Configura el perímetro para proteger el mismo conjunto de servicios que deseas que sean accesibles.
Configura las VPC en el perímetro para usar la VIP restringida.
Usa firewalls de capa 3.
Ejemplo: Red de VPC con acceso solo a Cloud Storage
Supongamos que tienes un perímetro de servicio, my-authorized-perimeter, que incluye dos proyectos: my-authorized-compute-project y my-authorized-gcs-project.
El perímetro protege el servicio de Cloud Storage.
my-authorized-gcs-project usa varios servicios, incluidos Cloud Storage, Bigtable y otros.
my-authorized-compute-project aloja una red de VPC.
Debido a que los dos proyectos comparten un perímetro, la red de VPC en my-authorized-compute-project tiene acceso a los recursos de servicios en my-authorized-gcs-project, sin importar si el perímetro protege esos servicios. Sin embargo, quieres que la red de VPC solo tenga acceso a los recursos de Cloud Storage en my-authorized-gcs-project.
Te preocupa que, si roban las credenciales para una VM en la red de VPC, un adversario podría aprovechar esa VM a fin de robar datos de cualquier servicio disponible en my-authorized-gcs-project.
Ya configuraste la red de VPC para que use la VIP restringida, lo que limita el acceso de la red de VPC solo a las API compatibles con los Controles del servicio de VPC. Por desgracia, esto no impide que la red de VPC acceda a los servicios compatibles, como los recursos de Bigtable en my-authorized-gcs-project.
Para limitar el acceso de la red de VPC solo al servicio de almacenamiento, habilita los servicios accesibles de VPC y establece storage.googleapis.com como un servicio permitido:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Listo. La red de VPC en my-authorized-compute-project ahora está limitada para acceder solo a los recursos del servicio de Cloud Storage. Esta restricción también se aplica a cualquier proyecto y red de VPC que agregues después al perímetro.