Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Configurer la sécurité pour les interfaces Private Service Connect
Cette page explique comment les administrateurs de réseaux producteurs peuvent gérer la sécurité dans les réseaux VPC qui utilisent des interfaces Private Service Connect.
Comme une interface Private Service Connect existe dans un réseau Private Service Connect utilisateur, une organisation de producteur ne contrôle pas les règles de pare-feu qui s'appliquent directement à l'interface. Si une organisation de producteurs souhaite s'assurer que les charges de travail de l'utilisateur ne peuvent pas initier de trafic vers les VM du réseau producteur ou que seules des charges de travail utilisateur sélectionnées peuvent initier du trafic, elles doivent définir des règles de sécurité dans le système d'exploitation invité de la VM de leur interface.
Bloquer l'entrée de l'utilisateur vers le producteur
Vous pouvez utiliser iptables pour configurer une interface Private Service Connect afin de bloquer le trafic entrant provenant d'un réseau utilisateur, tout en autorisant le trafic sortant du réseau producteur. Cette configuration est illustrée dans la figure 1.
Le trafic utilisateur est bloqué en entrée via une interface Private Service Connect, mais le trafic sortant du producteur est autorisé (cliquez pour agrandir).
Pour configurer une interface Private Service Connect de sorte qu'elle bloque le trafic entrant provenant du réseau utilisateur, mais autorise le trafic sortant du réseau producteur, procédez comme suit:
Assurez-vous que les règles de pare-feu sont configurées pour autoriser les connexions SSH d'entrée vers la VM de votre interface Private Service Connect.
Bloquez le trafic entrant initié par l'utilisateur via l'interface Private Service Connect:
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
Bloquer la création d'une interface Private Service Connect
Pour créer des interfaces Private Service Connect, les utilisateurs doivent disposer de l'autorisation Identity and Access Management (IAM) compute.instances.pscInterfaceCreate. Cette autorisation est incluse dans les rôles prédéfinis suivants :
Si vous souhaitez qu'un utilisateur dispose des autorisations associées à ces rôles, tout en l'empêchant de créer des interfaces Private Service Connect, vous pouvez créer un rôle personnalisé et l'attribuer à l'utilisateur. Accordez les autorisations nécessaires au rôle. Omettez l'autorisation compute.instances.pscInterfaceCreate.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/07/08 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/07/08 (UTC)."],[],[],null,["# Configure security for Private Service Connect interfaces\n=========================================================\n\nThis page describes how producer network administrators can manage\nsecurity in VPC networks that use\nPrivate Service Connect interfaces.\n\nBecause a Private Service Connect interface exists in a consumer\nPrivate Service Connect network, a producer organization does not\ncontrol firewall rules that apply directly to the interface. If a producer\norganization wants to ensure that consumer workloads cannot initiate traffic to\nVMs in the producer network, or that only selected consumer workloads can\ninitiate traffic, they must define security policies in the guest OS of their\ninterface's VM.\n\nBlock consumer-to-producer ingress\n----------------------------------\n\nYou can use `iptables` to configure a Private Service Connect\ninterface to block ingress traffic from a consumer network, but still allow\negress traffic from the producer network. This configuration is illustrated by\nfigure 1.\n[](/static/vpc/images/psc-interfaces/block-consumer-to-producer-ingress.svg) Consumer traffic is blocked from ingress through a Private Service Connect interface, but producer egress traffic is allowed (click to enlarge).\n\nTo configure a Private Service Connect interface to block ingress\ntraffic from the consumer network but allow egress traffic from the producer\nnetwork, do the following:\n\n1. Ensure that firewall rules are configured to\n [allow ingress SSH connections](/firewall/docs/using-firewalls#common-use-cases-allow-ssh)\n to your Private Service Connect interface's VM.\n\n2. [Connect](/compute/docs/connect/standard-ssh#connect_to_vms) to the VM.\n\n3. If the `iptables` command isn't available, install it.\n\n4. Allow consumer reply traffic to ingress into the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME\n ```\n\n Replace \u003cvar translate=\"no\"\u003eOS_INTERFACE_NAME\u003c/var\u003e with the\n [guest OS name for your Private Service Connect interface](/vpc/docs/configure-routing-private-service-connect-interfaces#find-os-interface-name).\n5. Block consumer-initiated traffic from ingressing through the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME\n ```\n\nBlock Private Service Connect interface creation\n------------------------------------------------\n\nTo create Private Service Connect interfaces, users\nmust have the `compute.instances.pscInterfaceCreate` Identity and Access Management (IAM)\npermission. This permission is included in the following roles:\n\n- [Compute Admin](/compute/docs/access/iam#compute.admin) (`roles/compute.admin`)\n- [Compute Instance Admin (v1)](/iam/docs/understanding-roles#compute.instanceAdmin.v1) (`roles/compute.instanceAdmin.v1`)\n\nIf you want a user to have the permissions that are associated with these\nroles, while preventing that user from creating\nPrivate Service Connect interfaces, you can\n[Create a custom role](/iam/docs/creating-custom-roles#creating) and grant\nit to the user. Add the necessary permissions to the role. Omit the\n`compute.instances.pscInterfaceCreate` permission.\n\nWhat's next?\n------------\n\n- [Manage destination overlap](/vpc/docs/manage-destination-overlap) in a network that has a Private Service Connect interface connection."]]
