Gestisci la sicurezza per i consumer di Private Service Connect
Questa pagina descrive in che modo i consumer di servizi possono configurare la sicurezza per la le organizzazioni e le reti VPC che utilizzano Private Service Connect.
I criteri dell'organizzazione consentono agli amministratori di controllare a livello generale quale Reti o organizzazioni VPC a cui i loro progetti possono connettersi utilizzando endpoint e backend di Private Service Connect. Le regole firewall VPC e i criteri firewall consentono alla rete gli amministratori controllano l'accesso a livello di rete a Private Service Connect Google Cloud. I criteri dell'organizzazione e le regole firewall sono complementari e possono utilizzati insieme.
Ruoli
Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin
) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.
Per ottenere le autorizzazioni necessarie per creare regole firewall,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore di rete Compute (roles/compute.networkAdmin
) sulla rete VPC.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.
Criteri dell'organizzazione consumer
Puoi utilizzare i criteri dell'organizzazione con elencare i vincoli per controllare il deployment Endpoint o backend di Private Service Connect. Se un endpoint o un endpoint è bloccato da un criterio dell'organizzazione consumer, la creazione un errore della risorsa.
Per ulteriori informazioni, vedi Criteri dell'organizzazione lato consumatore.
Impedisci a endpoint e backend di connettersi a collegamenti di servizi non autorizzati
Risorse: endpoint e backend
gcloud
Crea un file temporaneo denominato
/tmp/policy.yaml
per archiviare il nuovo . Aggiungi i seguenti contenuti al file:name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer spec: rules: - values: allowedValues: - under:organizations/PRODUCER_ORG_NUMBER - under:organizations/433637338589
Sostituisci quanto segue:
CONSUMER_ORG
: il valore ID risorsa dell'organizzazione dell'organizzazione per cui vuoi controllare l'endpoint e il backend e connessioni a Internet.PRODUCER_ORG_NUMBER
: l'organizzazione numerica ID risorsa dell'organizzazione producer che vuoi consentire agli endpoint e i backend a cui si connettono.
Per impedire a endpoint e backend di connettersi ai collegamenti dei servizi di proprietà di Google, rimuovi il seguente elemento dalla Sezione
allowedValues
:- under:organizations/433637338589
.Per specificare altre organizzazioni che possono connettersi al servizio allegati al progetto, includi voci aggiuntive Sezione
allowedValues
.Oltre alle organizzazioni, puoi specificare cartelle autorizzate di progetti nel seguente formato:
under:folders/FOLDER_ID
FOLDER_ID
deve essere l'ID numerico.under:projects/PROJECT_ID
PROJECT_ID
deve essere l'ID stringa.
Ad esempio, quanto segue può essere utilizzato per creare un'organizzazione che blocca gli endpoint e i backend in
Consumer-org-1
da la connessione ai collegamenti ai servizi, a meno che non siano associati a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazioneProducer-org-1
e il progettoProducer-project-1
e la cartellaProducer-folder-1
.name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer spec: rules: - values: allowedValues: - under:organizations/Producer-org-1 - under:projects/Producer-project-1 - under:folders/Producer-folder-1
Applica il criterio.
gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio in vigore.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \ --effective \ --organization=CONSUMER_ORG
Impedisci ai consumatori di eseguire il deployment degli endpoint in base al tipo di connessione
Risorse: endpoint
gcloud
Crea un file temporaneo denominato
/tmp/policy.yaml
per archiviare il nuovo .Per impedire agli utenti di un'organizzazione consumer di creare endpoint che connettiti alle API di Google, aggiungi i seguenti contenuti al file:
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers spec: rules: - values: allowedValues: - SERVICE_PRODUCERS
Per impedire agli utenti di un'organizzazione consumer di creare endpoint che collegati a servizi pubblicati, aggiungi i seguenti contenuti al file:
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers spec: rules: - values: allowedValues: - GOOGLE_APIS
Sostituisci
CONSUMER_ORG
con il nome del organizzazione consumer per cui vuoi controllare il deployment degli endpoint.Applica il criterio.
gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio in vigore.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \ --effective \ --organization=CONSUMER_ORG
Regole firewall
Risorse: tutte
Puoi utilizzare regole firewall VPC criteri firewall per controllare l'accesso alle risorse Private Service Connect. Le regole firewall in uscita possono bloccare o consentire l'accesso dalle istanze VM all'indirizzo IP o alla subnet degli endpoint e backend.
Ad esempio, la figura 1 descrive una configurazione in cui le regole firewall controllano alla subnet a cui è connesso l'endpoint Private Service Connect è connesso.
Figura 1. Le regole firewall controllano il traffico verso
subnet endpoint. Il traffico proveniente da vm-1
può raggiungere la subnet endpoint,
mentre il traffico da vm-2
è bloccato.
La seguente regola firewall nega tutto il traffico in uscita verso l'endpoint subnet:
gcloud compute firewall-rules create deny-all \ --network=vpc-1 \ --direction=egress \ --action=deny \ --destination-ranges=10.33.0.0/24 --priority=1000
La seguente regola firewall con priorità più elevata consente al traffico in uscita verso subnet endpoint per le VM con il tag di rete
allow-psc
:gcloud compute firewall-rules create allow-psc \ --network=vpc-1 \ --direction=egress \ --action=allow \ --target-tags=allow-psc \ --destination-ranges=10.33.0.0/24 --priority=100
Utilizza le regole del firewall per limitare l'accesso a endpoint o backend
Per limitare l'accesso dalle VM alla subnet di un endpoint o di un backend, seguire.
Crea una regola firewall per negare il traffico in uscita verso l'endpoint o il backend una subnet.
gcloud compute firewall-rules create deny-all \ --network=NETWORK \ --direction=egress \ --action=deny \ --destination-ranges=ENDPOINT_SUBNET_RANGE \ --priority=1000
Sostituisci quanto segue:
NETWORK
: il nome della rete del tuo endpoint o backend.ENDPOINT_SUBNET_RANGE
: l'intervallo IP CIDR del dell'endpoint o della subnet backend per cui vuoi controllare l'accesso.
Crea una seconda regola firewall per consentire il traffico in uscita dalle VM con tag al un endpoint o una subnet di backend.
gcloud compute firewall-rules create allow-psc \ --network=NETWORK \ --direction=egress \ --action=allow \ --target-tags=allow-psc \ --destination-ranges=ENDPOINT_SUBNET_RANGE \ --priority=100