Sicherheit für Private Service Connect-Nutzer verwalten

Auf dieser Seite wird beschrieben, wie Dienstnutzer die Sicherheit für Nutzerorganisationen und VPC-Netzwerke konfigurieren können, die Private Service Connect verwenden.

Mit Organisationsrichtlinien können Administratoren umfassend steuern, zu welchen VPC-Netzwerken oder Organisationen ihre Projekte über Private Service Connect-Endpunkte und -Back-Ends eine Verbindung herstellen können. Mit VPC-Firewallregeln und Firewallrichtlinien können Netzwerkadministratoren den Zugriff auf Netzwerkebene auf Private Service Connect-Ressourcen steuern. Organisationsrichtlinien und Firewallregeln ergänzen sich und können zusammen verwendet werden.

Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute network administrator (roles/compute.networkAdmin) für das VPC-Netzwerk zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Firewallregeln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Organisationsrichtlinien für Nutzer

Sie können Organisationsrichtlinien mit Listeneinschränkungen verwenden, um die Bereitstellung von Private Service Connect-Endpunkten oder -Back-Ends zu steuern. Wenn ein Endpunkt oder ein Back-End durch die Organisationsrichtlinie eines Nutzers blockiert wird, schlägt das Erstellen der Ressource fehl.

Weitere Informationen finden Sie unter Nutzerrichtlinien für Nutzer.

Endpunkte und Back-Ends daran hindern, eine Verbindung zu nicht autorisierten Dienstanhängen herzustellen

Ressourcen: Endpunkte und Back-Ends

gcloud

  1. Erstellen Sie eine temporäre Datei mit dem Namen /tmp/policy.yaml, um die neue Richtlinie zu speichern. Fügen Sie der Datei den folgenden Inhalt hinzu.

    name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer
    spec:
      rules:
        - values:
            allowedValues:
            - under:organizations/PRODUCER_ORG_NUMBER
            - under:organizations/433637338589
    

    Ersetzen Sie Folgendes:

    • CONSUMER_ORG: Die ID der Organisationsressource der Organisation, in der Sie Endpunkt- und Backend-Verbindungen steuern möchten.
    • PRODUCER_ORG_NUMBER: Die numerische Organisationsressource-ID der Erstellerorganisation, zu der Sie Endpunkte und Back-Ends eine Verbindung herstellen möchten.

    Wenn Sie verhindern möchten, dass Endpunkte und Back-Ends eine Verbindung zu Dienstanhängen von Google herstellen, entfernen Sie das folgende Element aus dem Abschnitt allowedValues: - under:organizations/433637338589.

    Wenn Sie zusätzliche Organisationen angeben möchten, die eine Verbindung zu Dienstanhängen in Ihrem Projekt herstellen können, fügen Sie zusätzliche Einträge im Abschnitt allowedValues ein.

    Zusätzlich zu Organisationen können Sie autorisierte Ordner und Projekte im folgenden Format angeben:

    • under:folders/FOLDER_ID

      Die FOLDER_ID muss die numerische ID sein.

    • under:projects/PROJECT_ID

      Die PROJECT_ID muss die String-ID sein.

    Mit dem folgenden Befehl können Sie beispielsweise eine Organisationsrichtlinie erstellen, die Endpunkte und Back-Ends in Consumer-org-1 daran hindert, eine Verbindung zu Dienstanhängen herzustellen, es sei denn, die Dienstanhänge sind einem zulässigen Wert oder einem untergeordneten Element eines zulässigen Werts zugeordnet. Zulässige Werte sind die Organisation Producer-org-1, das Projekt Producer-project-1 und der Ordner Producer-folder-1.

    name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer
    spec:
        rules:
          - values:
              allowedValues:
              - under:organizations/Producer-org-1
              - under:projects/Producer-project-1
              - under:folders/Producer-folder-1
    
  2. Wenden Sie die Richtlinie an:

    gcloud org-policies set-policy /tmp/policy.yaml
    
  3. Sehen Sie sich die geltende Richtlinie an.

    gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
        --effective \
        --organization=CONSUMER_ORG
    

Nutzer daran hindern, Endpunkte nach Verbindungstyp bereitzustellen

Ressourcen: Endpunkte

gcloud

  1. Erstellen Sie eine temporäre Datei mit dem Namen /tmp/policy.yaml, um die neue Richtlinie zu speichern.

    • Fügen Sie der Datei den folgenden Inhalt hinzu, um zu verhindern, dass Nutzer in einer Nutzerorganisation Endpunkte erstellen, die eine Verbindung zu Google APIs herstellen:

      name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
      spec:
        rules:
          - values:
              allowedValues:
              - SERVICE_PRODUCERS
      
    • Fügen Sie der Datei den folgenden Inhalt hinzu, um zu verhindern, dass Nutzer in einer Nutzerorganisation Endpunkte erstellen, die eine Verbindung zu veröffentlichten Diensten herstellen:

      name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
      spec:
        rules:
          - values:
              allowedValues:
              - GOOGLE_APIS
      

    Ersetzen Sie CONSUMER_ORG durch den Namen der Nutzerorganisation, für die Sie die Endpunktbereitstellung steuern möchten.

  2. Wenden Sie die Richtlinie an:

    gcloud org-policies set-policy /tmp/policy.yaml
    
  3. Sehen Sie sich die geltende Richtlinie an.

    gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
        --effective \
        --organization=CONSUMER_ORG
    

Firewallregeln

Resources: (Ressourcen): alle

Mithilfe von VPC-Firewallregeln oder Firewallrichtlinien können Sie den Zugriff auf Private Service Connect-Ressourcen steuern. Firewallregeln für ausgehenden Traffic können den Zugriff von VM-Instanzen auf die IP-Adresse oder das Subnetz von Endpunkten und Back-Ends blockieren oder zulassen.

Abbildung 1 beschreibt beispielsweise eine Konfiguration, bei der Firewallregeln den Zugriff auf das Subnetz steuern, mit dem der Private Service Connect-Endpunkt verbunden ist.

Firewallregeln steuern den Traffic zum Endpunkt-Subnetz. Traffic von vm-1 kann das Endpunkt-Subnetz erreichen, während Traffic von vm-2 blockiert wird (zum Vergrößern klicken).
  1. Mit der folgenden Firewallregel wird der gesamte ausgehende Traffic zum Subnetz des Endpunkts abgelehnt:

    gcloud compute firewall-rules create deny-all \
        --network=vpc-1 \
        --direction=egress \
        --action=deny \
        --destination-ranges=10.33.0.0/24
        --priority=1000
    
  2. Die folgende Firewallregel mit höherer Priorität lässt ausgehenden Traffic zum Endpunkt-Subnetz für VMs mit dem Netzwerk-Tag allow-psc zu:

    gcloud compute firewall-rules create allow-psc \
        --network=vpc-1 \
        --direction=egress \
        --action=allow \
        --target-tags=allow-psc \
        --destination-ranges=10.33.0.0/24
        --priority=100
    

Mit Firewallregeln den Zugriff auf Endpunkte oder Back-Ends einschränken

So beschränken Sie den Zugriff von VMs auf das Subnetz eines Endpunkts oder Back-Ends:

  1. Erstellen Sie eine Firewallregel, um ausgehenden Traffic zum Endpunkt oder Backend-Subnetz abzulehnen.

    gcloud compute firewall-rules create deny-all \
        --network=NETWORK \
        --direction=egress \
        --action=deny \
        --destination-ranges=ENDPOINT_SUBNET_RANGE \
        --priority=1000
    

    Ersetzen Sie Folgendes:

    • NETWORK: der Name des Netzwerks Ihres Endpunkts oder Back-Ends.
    • ENDPOINT_SUBNET_RANGE: der IP-CIDR-Bereich des Endpunkts oder des Backend-Subnetzes, auf das Sie den Zugriff steuern möchten.
  2. Erstellen Sie eine zweite Firewallregel, um ausgehenden Traffic von getaggten VMs zum Endpunkt oder Backend-Subnetz zuzulassen.

    gcloud compute firewall-rules create allow-psc \
        --network=NETWORK \
        --direction=egress \
        --action=allow \
        --target-tags=allow-psc \
        --destination-ranges=ENDPOINT_SUBNET_RANGE \
        --priority=100