Sicherheit für Private Service Connect-Nutzer verwalten
Auf dieser Seite wird beschrieben, wie Dienstnutzer die Sicherheit für Nutzerorganisationen und VPC-Netzwerke konfigurieren können, die Private Service Connect verwenden.
Mit Organisationsrichtlinien können Administratoren umfassend steuern, zu welchen VPC-Netzwerken oder Organisationen ihre Projekte über Private Service Connect-Endpunkte und -Back-Ends eine Verbindung herstellen können. Mit VPC-Firewallregeln und Firewallrichtlinien können Netzwerkadministratoren den Zugriff auf Netzwerkebene auf Private Service Connect-Ressourcen steuern. Organisationsrichtlinien und Firewallregeln ergänzen sich und können zusammen verwendet werden.
Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute network administrator (roles/compute.networkAdmin) für das VPC-Netzwerk zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Firewallregeln benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Organisationsrichtlinien für Nutzer
Sie können Organisationsrichtlinien mit Listeneinschränkungen verwenden, um die Bereitstellung von Private Service Connect-Endpunkten oder -Back-Ends zu steuern. Wenn ein Endpunkt oder ein Back-End durch die Organisationsrichtlinie eines Nutzers blockiert wird, schlägt das Erstellen der Ressource fehl.
Weitere Informationen finden Sie unter Nutzerrichtlinien für Nutzer.
Endpunkte und Back-Ends daran hindern, eine Verbindung zu nicht autorisierten Dienstanhängen herzustellen
Ressourcen: Endpunkte und Back-Ends
gcloud
Erstellen Sie eine temporäre Datei mit dem Namen
/tmp/policy.yaml, um die neue Richtlinie zu speichern. Fügen Sie der Datei den folgenden Inhalt hinzu.name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer spec: rules: - values: allowedValues: - under:organizations/PRODUCER_ORG_NUMBER - under:organizations/433637338589Ersetzen Sie Folgendes:
CONSUMER_ORG: Die ID der Organisationsressource der Organisation, in der Sie Endpunkt- und Backend-Verbindungen steuern möchten.PRODUCER_ORG_NUMBER: Die numerische Organisationsressource-ID der Erstellerorganisation, zu der Sie Endpunkte und Back-Ends eine Verbindung herstellen möchten.
Wenn Sie verhindern möchten, dass Endpunkte und Back-Ends eine Verbindung zu Dienstanhängen von Google herstellen, entfernen Sie das folgende Element aus dem Abschnitt
allowedValues:- under:organizations/433637338589.Wenn Sie zusätzliche Organisationen angeben möchten, die eine Verbindung zu Dienstanhängen in Ihrem Projekt herstellen können, fügen Sie zusätzliche Einträge im Abschnitt
allowedValuesein.Zusätzlich zu Organisationen können Sie autorisierte Ordner und Projekte im folgenden Format angeben:
under:folders/FOLDER_IDDie
FOLDER_IDmuss die numerische ID sein.under:projects/PROJECT_IDDie
PROJECT_IDmuss die String-ID sein.
Mit dem folgenden Befehl können Sie beispielsweise eine Organisationsrichtlinie erstellen, die Endpunkte und Back-Ends in
Consumer-org-1daran hindert, eine Verbindung zu Dienstanhängen herzustellen, es sei denn, die Dienstanhänge sind einem zulässigen Wert oder einem untergeordneten Element eines zulässigen Werts zugeordnet. Zulässige Werte sind die OrganisationProducer-org-1, das ProjektProducer-project-1und der OrdnerProducer-folder-1.name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer spec: rules: - values: allowedValues: - under:organizations/Producer-org-1 - under:projects/Producer-project-1 - under:folders/Producer-folder-1Wenden Sie die Richtlinie an:
gcloud org-policies set-policy /tmp/policy.yaml
Sehen Sie sich die geltende Richtlinie an.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \ --effective \ --organization=CONSUMER_ORG
Nutzer daran hindern, Endpunkte nach Verbindungstyp bereitzustellen
Ressourcen: Endpunkte
gcloud
Erstellen Sie eine temporäre Datei mit dem Namen
/tmp/policy.yaml, um die neue Richtlinie zu speichern.Fügen Sie der Datei den folgenden Inhalt hinzu, um zu verhindern, dass Nutzer in einer Nutzerorganisation Endpunkte erstellen, die eine Verbindung zu Google APIs herstellen:
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers spec: rules: - values: allowedValues: - SERVICE_PRODUCERSFügen Sie der Datei den folgenden Inhalt hinzu, um zu verhindern, dass Nutzer in einer Nutzerorganisation Endpunkte erstellen, die eine Verbindung zu veröffentlichten Diensten herstellen:
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers spec: rules: - values: allowedValues: - GOOGLE_APIS
Ersetzen Sie
CONSUMER_ORGdurch den Namen der Nutzerorganisation, für die Sie die Endpunktbereitstellung steuern möchten.Wenden Sie die Richtlinie an:
gcloud org-policies set-policy /tmp/policy.yaml
Sehen Sie sich die geltende Richtlinie an.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \ --effective \ --organization=CONSUMER_ORG
Firewallregeln
Resources: (Ressourcen): alle
Mithilfe von VPC-Firewallregeln oder Firewallrichtlinien können Sie den Zugriff auf Private Service Connect-Ressourcen steuern. Firewallregeln für ausgehenden Traffic können den Zugriff von VM-Instanzen auf die IP-Adresse oder das Subnetz von Endpunkten und Back-Ends blockieren oder zulassen.
Abbildung 1 beschreibt beispielsweise eine Konfiguration, bei der Firewallregeln den Zugriff auf das Subnetz steuern, mit dem der Private Service Connect-Endpunkt verbunden ist.
vm-1 kann das Endpunkt-Subnetz erreichen, während Traffic von vm-2 blockiert wird (zum Vergrößern klicken).
Mit der folgenden Firewallregel wird der gesamte ausgehende Traffic zum Subnetz des Endpunkts abgelehnt:
gcloud compute firewall-rules create deny-all \ --network=vpc-1 \ --direction=egress \ --action=deny \ --destination-ranges=10.33.0.0/24 --priority=1000Die folgende Firewallregel mit höherer Priorität lässt ausgehenden Traffic zum Endpunkt-Subnetz für VMs mit dem Netzwerk-Tag
allow-psczu:gcloud compute firewall-rules create allow-psc \ --network=vpc-1 \ --direction=egress \ --action=allow \ --target-tags=allow-psc \ --destination-ranges=10.33.0.0/24 --priority=100
Mit Firewallregeln den Zugriff auf Endpunkte oder Back-Ends einschränken
So beschränken Sie den Zugriff von VMs auf das Subnetz eines Endpunkts oder Back-Ends:
Erstellen Sie eine Firewallregel, um ausgehenden Traffic zum Endpunkt oder Backend-Subnetz abzulehnen.
gcloud compute firewall-rules create deny-all \ --network=NETWORK \ --direction=egress \ --action=deny \ --destination-ranges=ENDPOINT_SUBNET_RANGE \ --priority=1000Ersetzen Sie Folgendes:
NETWORK: der Name des Netzwerks Ihres Endpunkts oder Back-Ends.ENDPOINT_SUBNET_RANGE: der IP-CIDR-Bereich des Endpunkts oder des Backend-Subnetzes, auf das Sie den Zugriff steuern möchten.
Erstellen Sie eine zweite Firewallregel, um ausgehenden Traffic von getaggten VMs zum Endpunkt oder Backend-Subnetz zuzulassen.
gcloud compute firewall-rules create allow-psc \ --network=NETWORK \ --direction=egress \ --action=allow \ --target-tags=allow-psc \ --destination-ranges=ENDPOINT_SUBNET_RANGE \ --priority=100