Administra la seguridad para los consumidores de Private Service Connect
En esta página, se describe cómo los consumidores de servicios pueden configurar la seguridad para las organizaciones de consumidores y las redes de VPC que usan Private Service Connect.
Las políticas de la organización permiten a los administradores controlar de forma amplia las organizaciones o las redes de VPC a las que se pueden conectar los proyectos mediante extremos y backends de Private Service Connect. Las reglas de firewall de VPC y las políticas de firewall permiten que los administradores de red controlen el acceso a nivel de red a los recursos de Private Service Connect. Las políticas de la organización y las reglas de firewall son complementarias y se pueden usar en conjunto.
Funciones
Para obtener los permisos que necesitas a fin de administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin
) en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Para obtener los permisos que necesitas para crear las reglas de firewall, pídele a tu administrador que te otorgue el rol de IAM de administrador de red de Compute (roles/compute.networkAdmin
) en la red de VPC.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Políticas de la organización del consumidor
Puedes usar las políticas de la organización con restricciones de lista para controlar la implementación de los extremos o los backends de Private Service Connect. Si un extremo o backend está bloqueado por una política de la organización de consumidores, la creación del recurso falla.
Para obtener más información, consulta Políticas de la organización del consumidor.
Bloquea la conexión de extremos y backends a adjuntos de servicio no autorizados
Recursos: extremos y backends
gcloud
Crea un archivo temporal llamado
/tmp/policy.yaml
para almacenar la nueva política. Agrega el siguiente contenido al archivo:name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer spec: rules: - values: allowedValues: - under:organizations/PRODUCER_ORG_NUMBER - under:organizations/433637338589
Reemplaza lo siguiente:
CONSUMER_ORG
: el ID del recurso de la organización en la que deseas controlar el extremo y las conexiones de backend.PRODUCER_ORG_NUMBER
: el ID numérico del recurso de la organización del productor al que deseas que se conecten los extremos y backends.
Para evitar que los extremos y los backends se conecten a los adjuntos de servicio que son propiedad de Google, quita el siguiente elemento de la sección
allowedValues
:- under:organizations/433637338589
.Para especificar organizaciones adicionales que pueden conectarse a los adjuntos de servicio en tu proyecto, incluye entradas adicionales en la sección
allowedValues
.Además de las organizaciones, puedes especificar las carpetas y los proyectos autorizados de la siguiente manera:
under:folders/FOLDER_ID
El
FOLDER_ID
debe ser el ID numérico.under:projects/PROJECT_ID
El
PROJECT_ID
debe ser el ID de la cadena.
Por ejemplo, se puede usar lo siguiente para crear una política de la organización que bloquee los extremos y los backends en
Consumer-org-1
para que no se conecten a los adjuntos de servicio, a menos que los adjuntos de servicio estén asociados con un valor permitido o un subordinado de un valor permitido. Los valores permitidos son la organizaciónProducer-org-1
, el proyectoProducer-project-1
y la carpetaProducer-folder-1
.name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer spec: rules: - values: allowedValues: - under:organizations/Producer-org-1 - under:projects/Producer-project-1 - under:folders/Producer-folder-1
Aplicar la política.
gcloud org-policies set-policy /tmp/policy.yaml
Consultar la política vigente.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \ --effective \ --organization=CONSUMER_ORG
Impide que los consumidores implementen extremos por tipo de conexión
Recursos: extremos
gcloud
Crea un archivo temporal llamado
/tmp/policy.yaml
para almacenar la nueva política.Para evitar que los usuarios de una organización de consumidor creen extremos que se conecten a las APIs de Google, agrega el siguiente contenido al archivo:
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers spec: rules: - values: allowedValues: - SERVICE_PRODUCERS
Para evitar que los usuarios de una organización de consumidor creen extremos que se conecten a los servicios publicados, agrega el siguiente contenido al archivo:
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers spec: rules: - values: allowedValues: - GOOGLE_APIS
Reemplaza
CONSUMER_ORG
por el nombre de la organización de consumidores para la que quieres controlar la implementación del extremo.Aplicar la política.
gcloud org-policies set-policy /tmp/policy.yaml
Consultar la política vigente.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \ --effective \ --organization=CONSUMER_ORG
Reglas de firewall
Recursos: todos
Puedes usar las reglas de firewall de VPC o las políticas de firewall para controlar el acceso a los recursos de Private Service Connect. Las reglas de firewall de salida pueden bloquear o permitir el acceso desde las instancias de VM a la dirección IP o a la subred de extremos y backends.
Por ejemplo, en la figura 1, se describe una configuración en la que las reglas de firewall controlan el acceso a la subred a la que está conectado el extremo de Private Service Connect.
Con la siguiente regla de firewall, se rechaza todo el tráfico de salida a la subred del extremo:
gcloud compute firewall-rules create deny-all \ --network=vpc-1 \ --direction=egress \ --action=deny \ --destination-ranges=10.33.0.0/24 --priority=1000
La siguiente regla de firewall de mayor prioridad permite el tráfico de salida a la subred del extremo para las VM con la etiqueta de red
allow-psc
:gcloud compute firewall-rules create allow-psc \ --network=vpc-1 \ --direction=egress \ --action=allow \ --target-tags=allow-psc \ --destination-ranges=10.33.0.0/24 --priority=100
Usa las reglas de firewall para limitar el acceso a los extremos o backends
Para limitar el acceso de las VM a la subred de un extremo o un backend, haz lo siguiente.
Crea una regla de firewall para denegar el tráfico de salida al extremo o la subred del backend.
gcloud compute firewall-rules create deny-all \ --network=NETWORK \ --direction=egress \ --action=deny \ --destination-ranges=ENDPOINT_SUBNET_RANGE \ --priority=1000
Reemplaza lo siguiente:
NETWORK
: El nombre de la red de tu extremo o backend.ENDPOINT_SUBNET_RANGE
: El rango de CIDR de IP de la subred de backend o extremo en la que deseas controlar el acceso.
Crea una segunda regla de firewall para permitir el tráfico de salida de las VM etiquetadas a la subred del extremo o backend.
gcloud compute firewall-rules create allow-psc \ --network=NETWORK \ --direction=egress \ --action=allow \ --target-tags=allow-psc \ --destination-ranges=ENDPOINT_SUBNET_RANGE \ --priority=100