Mengelola keamanan untuk konsumen Private Service Connect
Halaman ini menjelaskan cara konsumen layanan dapat mengonfigurasi keamanan untuk organisasi konsumen dan jaringan VPC yang menggunakan Private Service Connect.
Dengan kebijakan organisasi, administrator dapat mengontrol secara luas jaringan VPC atau organisasi yang dapat terhubung dengan project mereka menggunakan endpoint dan backend Private Service Connect. Aturan firewall VPC dan kebijakan firewall memungkinkan administrator jaringan mengontrol akses tingkat jaringan ke resource Private Service Connect. Kebijakan organisasi dan aturan firewall saling melengkapi dan dapat digunakan bersama.
Peran
Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi,
minta administrator untuk memberi Anda
peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin
) di organisasi.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Untuk mendapatkan izin yang diperlukan untuk membuat aturan firewall,
minta administrator untuk memberi Anda
peran IAM Administrator jaringan Compute (roles/compute.networkAdmin
) di jaringan VPC.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Kebijakan organisasi konsumen
Anda dapat menggunakan kebijakan organisasi dengan batasan daftar untuk mengontrol deployment endpoint atau backend Private Service Connect. Jika endpoint atau backend diblokir oleh kebijakan organisasi konsumen, pembuatan resource akan gagal.
Untuk mengetahui informasi selengkapnya, lihat Kebijakan organisasi sisi konsumen.
Memblokir endpoint dan backend agar tidak terhubung ke lampiran layanan yang tidak sah
Resource: endpoint dan backend
gcloud
Buat file sementara bernama
/tmp/policy.yaml
untuk menyimpan kebijakan baru. Tambahkan teks berikut ke file:name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer spec: rules: - values: allowedValues: - under:organizations/PRODUCER_ORG_NUMBER - under:organizations/433637338589
Ganti kode berikut:
CONSUMER_ORG
: ID resource organisasi dari organisasi tempat Anda ingin mengontrol koneksi endpoint dan backend.PRODUCER_ORG_NUMBER
: ID resource organisasi numerik dari organisasi produsen yang ingin Anda izinkan untuk terhubung dengan endpoint dan backend.
Untuk memblokir endpoint dan backend agar tidak terhubung ke lampiran layanan yang dimiliki oleh Google, hapus item berikut dari bagian
allowedValues
:- under:organizations/433637338589
.Untuk menentukan organisasi tambahan yang dapat terhubung ke lampiran layanan dalam project Anda, sertakan entri tambahan di bagian
allowedValues
.Selain organisasi, Anda dapat menentukan folder dan project yang diotorisasi dalam bentuk berikut:
under:folders/FOLDER_ID
FOLDER_ID
harus berupa ID numerik.under:projects/PROJECT_ID
PROJECT_ID
harus berupa ID string.
Misalnya, kode berikut dapat digunakan untuk membuat kebijakan organisasi yang memblokir endpoint dan backend di
Consumer-org-1
agar tidak terhubung ke lampiran layanan, kecuali jika lampiran layanan dikaitkan dengan nilai yang diizinkan atau dengan turunan dari nilai yang diizinkan. Nilai yang diizinkan adalah organisasiProducer-org-1
, projectProducer-project-1
, dan folderProducer-folder-1
.name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer spec: rules: - values: allowedValues: - under:organizations/Producer-org-1 - under:projects/Producer-project-1 - under:folders/Producer-folder-1
Terapkan kebijakan.
gcloud org-policies set-policy /tmp/policy.yaml
Lihat kebijakan yang berlaku.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \ --effective \ --organization=CONSUMER_ORG
Memblokir konsumen agar tidak men-deploy endpoint berdasarkan jenis koneksi
Referensi: endpoint
gcloud
Buat file sementara bernama
/tmp/policy.yaml
untuk menyimpan kebijakan baru.Untuk mencegah pengguna di organisasi konsumen agar tidak membuat endpoint yang terhubung ke Google API, tambahkan konten berikut ke file:
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers spec: rules: - values: allowedValues: - SERVICE_PRODUCERS
Untuk mencegah pengguna di organisasi konsumen agar tidak membuat endpoint yang terhubung ke layanan yang dipublikasikan, tambahkan konten berikut ke file:
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers spec: rules: - values: allowedValues: - GOOGLE_APIS
Ganti
CONSUMER_ORG
dengan nama organisasi konsumen yang ingin Anda kontrol deployment endpoint-nya.Terapkan kebijakan.
gcloud org-policies set-policy /tmp/policy.yaml
Lihat kebijakan yang berlaku.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \ --effective \ --organization=CONSUMER_ORG
Aturan firewall
Referensi: semua
Anda dapat menggunakan aturan firewall VPC atau kebijakan firewall untuk mengontrol akses ke resource Private Service Connect. Aturan firewall keluar dapat memblokir atau mengizinkan akses dari instance VM ke alamat IP atau subnet endpoint dan backend.
Misalnya, gambar 1 menjelaskan konfigurasi tempat aturan firewall mengontrol akses ke subnet yang terhubung dengan endpoint Private Service Connect.
Aturan firewall berikut menolak semua traffic keluar ke subnet endpoint:
gcloud compute firewall-rules create deny-all \ --network=vpc-1 \ --direction=egress \ --action=deny \ --destination-ranges=10.33.0.0/24 --priority=1000
Aturan firewall dengan prioritas lebih tinggi berikut memungkinkan traffic keluar ke subnet endpoint untuk VM dengan tag jaringan
allow-psc
:gcloud compute firewall-rules create allow-psc \ --network=vpc-1 \ --direction=egress \ --action=allow \ --target-tags=allow-psc \ --destination-ranges=10.33.0.0/24 --priority=100
Menggunakan aturan firewall untuk membatasi akses ke endpoint atau backend
Untuk membatasi akses dari VM ke subnet endpoint atau backend, lakukan hal berikut.
Buat aturan firewall untuk menolak traffic keluar ke endpoint atau subnet backend.
gcloud compute firewall-rules create deny-all \ --network=NETWORK \ --direction=egress \ --action=deny \ --destination-ranges=ENDPOINT_SUBNET_RANGE \ --priority=1000
Ganti kode berikut:
NETWORK
: nama jaringan endpoint atau backend Anda.ENDPOINT_SUBNET_RANGE
: rentang CIDR IP dari endpoint atau subnet backend yang ingin Anda kontrol aksesnya.
Buat aturan firewall kedua untuk mengizinkan traffic keluar dari VM yang diberi tag ke endpoint atau subnet backend.
gcloud compute firewall-rules create allow-psc \ --network=NETWORK \ --direction=egress \ --action=allow \ --target-tags=allow-psc \ --destination-ranges=ENDPOINT_SUBNET_RANGE \ --priority=100