Mengelola keamanan untuk konsumen Private Service Connect

Halaman ini menjelaskan cara konsumen layanan dapat mengonfigurasi keamanan untuk organisasi konsumen dan jaringan VPC yang menggunakan Private Service Connect.

Dengan kebijakan organisasi, administrator dapat mengontrol secara luas jaringan VPC atau organisasi yang dapat terhubung dengan project mereka menggunakan endpoint dan backend Private Service Connect. Aturan firewall VPC dan kebijakan firewall memungkinkan administrator jaringan mengontrol akses tingkat jaringan ke resource Private Service Connect. Kebijakan organisasi dan aturan firewall saling melengkapi dan dapat digunakan bersama.

Peran

Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Guna mendapatkan izin yang diperlukan untuk membuat aturan firewall, minta administrator untuk memberi Anda peran IAM Administrator jaringan Compute (roles/compute.networkAdmin) di jaringan VPC. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Kebijakan organisasi konsumen

Anda dapat menggunakan kebijakan organisasi dengan batasan daftar untuk mengontrol deployment endpoint atau backend Private Service Connect. Jika endpoint atau backend diblokir oleh kebijakan organisasi konsumen, pembuatan resource akan gagal.

Untuk mengetahui informasi selengkapnya, lihat Kebijakan organisasi sisi konsumen.

Memblokir endpoint dan backend agar tidak terhubung ke lampiran layanan yang tidak sah

gcloud

  1. Buat file sementara bernama /tmp/policy.yaml untuk menyimpan kebijakan baru. Tambahkan teks berikut ke file:

    name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/PRODUCER_ORG_NUMBER
        - under:organizations/43363733858

    Ganti kode berikut:

    • CONSUMER_ORG: ID resource organisasi dari organisasi tempat Anda ingin mengontrol koneksi endpoint dan backend.
    • PRODUCER_ORG_NUMBER: ID resource organisasi numerik dari organisasi produsen yang ingin Anda izinkan untuk terhubung dengan endpoint dan backend.

    Untuk memblokir endpoint dan backend agar tidak terhubung ke lampiran layanan yang dimiliki oleh Google, hapus item berikut dari bagian allowedValues: - under:organizations/433637338589.

    Untuk menentukan organisasi tambahan yang dapat terhubung ke lampiran layanan dalam project Anda, sertakan entri tambahan di bagian allowedValues.

    Selain organisasi, Anda dapat menentukan folder dan project yang diotorisasi dalam bentuk berikut:

    • under:folders/FOLDER_ID

      FOLDER_ID harus berupa ID numerik.

    • under:projects/PROJECT_ID

      PROJECT_ID harus berupa ID string.

    Misalnya, hal berikut dapat digunakan untuk membuat kebijakan organisasi yang memblokir endpoint dan backend di Consumer-org-1 agar tidak terhubung ke lampiran layanan, kecuali jika lampiran layanan dikaitkan dengan nilai yang diizinkan atau turunan dari nilai yang diizinkan. Nilai yang diizinkan adalah organisasi Producer-org-1, project Producer-project-1, dan folder Producer-folder-1.

    name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer
spec:
    rules:
      - values:
          allowedValues:
          - under:organizations/Producer-org-1
          - under:projects/Producer-project-1
          - under:folders/Producer-folder-1

  2. Terapkan kebijakan.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Lihat kebijakan yang berlaku.

    gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

Memblokir konsumen agar tidak men-deploy endpoint berdasarkan jenis koneksi

gcloud

  1. Buat file sementara bernama /tmp/policy.yaml untuk menyimpan kebijakan baru.

    • Untuk mencegah pengguna di organisasi konsumen agar tidak membuat endpoint yang terhubung ke Google API, tambahkan konten berikut ke file:

      name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
spec:
  rules:
    - values:
        allowedValues:
        - SERVICE_PRODUCERS

    • Untuk mencegah pengguna di organisasi konsumen agar tidak membuat endpoint yang terhubung ke layanan yang dipublikasikan, tambahkan konten berikut ke file:

      name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
spec:
  rules:
    - values:
        allowedValues:
        - GOOGLE_APIS

    Ganti CONSUMER_ORG dengan nama organisasi konsumen yang ingin Anda kontrol deployment endpoint-nya.

  2. Terapkan kebijakan.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Lihat kebijakan yang berlaku.

    gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

Aturan firewall

Anda dapat menggunakan aturan firewall VPC atau kebijakan firewall untuk mengontrol akses ke resource Private Service Connect. Aturan firewall keluar dapat memblokir atau mengizinkan akses dari instance VM ke alamat IP atau subnet endpoint dan backend.

Misalnya, gambar 1 menjelaskan konfigurasi tempat aturan firewall mengontrol akses ke subnet yang terhubung dengan endpoint Private Service Connect.

Gambar 1. Aturan firewall mengontrol traffic ke endpoint-subnet. Traffic dari vm-1 dapat menjangkau endpoint-subnet, sedangkan traffic dari vm-2 diblokir.

  1. Aturan firewall berikut menolak semua traffic keluar ke subnet endpoint:

    gcloud compute firewall-rules create deny-all \
    --network=vpc-1 \
    --direction=egress \
    --action=deny \
    --destination-ranges=10.33.0.0/24
    --priority=1000

  2. Aturan firewall dengan prioritas lebih tinggi berikut memungkinkan traffic keluar ke subnet endpoint untuk VM dengan tag jaringan allow-psc:

    gcloud compute firewall-rules create allow-psc \
    --network=vpc-1 \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=10.33.0.0/24
    --priority=100

Menggunakan aturan firewall untuk membatasi akses ke endpoint atau backend

Untuk membatasi akses dari VM ke subnet endpoint atau backend, lakukan hal berikut.

  1. Buat aturan firewall untuk menolak traffic keluar ke endpoint atau subnet backend.

    gcloud compute firewall-rules create deny-all \
    --network=NETWORK \
    --direction=egress \
    --action=deny \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=1000

    Ganti kode berikut:

    • NETWORK: nama jaringan endpoint atau backend Anda.
    • ENDPOINT_SUBNET_RANGE: rentang CIDR IP dari endpoint atau subnet backend yang ingin Anda kontrol aksesnya.

  2. Buat aturan firewall kedua untuk mengizinkan traffic keluar dari VM yang diberi tag ke endpoint atau subnet backend.

    gcloud compute firewall-rules create allow-psc \
    --network=NETWORK \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=100