Pour définir les services accessibles depuis un réseau dans votre périmètre de service, utilisez la fonctionnalité Services accessibles par VPC. La fonctionnalité de services accessibles par VPC limite l'ensemble de services accessibles à partir de points de terminaison du réseau dans votre périmètre de service.
La fonctionnalité de services accessibles par VPC ne s'applique qu'au trafic depuis les points de terminaison de votre réseau VPC vers les API Google. Contrairement aux périmètres de service, la fonctionnalité de services accessibles par VPC ne s'applique pas à la communication d'une API Google à une autre, ni aux réseaux d'unités de location, qui sont utilisés pour mettre en œuvre certains services Google Cloud.
Lorsque vous configurez des services accessibles par VPC pour un périmètre, vous pouvez spécifier une liste de services individuels et inclure la valeur RESTRICTED-SERVICES, qui inclut automatiquement tous les services protégés par le périmètre.
Pour vous assurer que l'accès aux services prévus est entièrement limité, vous devez :
Configurer le périmètre pour protéger le même ensemble de services que vous souhaitez rendre accessible.
Configurer des VPC du périmètre pour utiliser l'adresse IP virtuelle restreinte.
Utiliser des pare-feu de couche 3.
Exemple : réseau VPC avec accès à Cloud Storage uniquement
Supposons que vous disposiez d'un périmètre de service, my-authorized-perimeter, qui comprend deux projets : my-authorized-compute-project et my-authorized-gcs-project.
Le périmètre protège le service Cloud Storage.
my-authorized-gcs-project utilise un certain nombre de services, tels que Cloud Storage et Bigtable.
my-authorized-compute-project héberge un réseau VPC.
Étant donné que les deux projets partagent un périmètre, le réseau VPC de my-authorized-compute-project a accès aux ressources des services de my-authorized-gcs-project, que le périmètre protège ces services ou non. Cependant, vous souhaitez que votre réseau VPC n'ait accès qu'aux ressources Cloud Storage de my-authorized-gcs-project.
Vous craignez que si les identifiants d'une VM de votre réseau VPC sont volés, un adversaire puisse exploiter cette VM pour exfiltrer les données de tout service disponible dans my-authorized-gcs-project.
Vous avez déjà configuré votre réseau VPC pour qu'il utilise l'adresse IP virtuelle restreinte, ce qui limite l'accès de votre réseau VPC uniquement aux API compatibles avec VPC Service Controls. Malheureusement, cela n'empêche pas votre réseau VPC d'accéder aux services compatibles, tels que les ressources Bigtable de my-authorized-gcs-project.
Pour limiter l'accès du réseau VPC au seul service de stockage, activez les services accessibles au VPC et définissez storage.googleapis.com comme service autorisé :
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Opération réussie ! Le réseau VPC de my-authorized-compute-project peut désormais uniquement accéder aux ressources du service Cloud Storage. Cette restriction s'applique également à tous les projets et réseaux VPC que vous ajoutez ultérieurement au périmètre.