Questa pagina è stata tradotta dall'API Cloud Translation.

Gestisci la sicurezza per i consumer di Private Service Connect

Questa pagina descrive in che modo i consumer di servizi possono configurare la sicurezza per il consumer le organizzazioni e le reti VPC che utilizzano Private Service Connect.

I criteri dell'organizzazione consentono agli amministratori di controllare a livello generale quale Reti o organizzazioni VPC a cui i loro progetti possono connettersi utilizzando endpoint e backend di Private Service Connect. Le regole firewall VPC e i criteri firewall consentono agli amministratori di rete di controllare l'accesso a livello di rete alle risorse Private Service Connect. I criteri dell'organizzazione e le regole firewall sono complementari e possono essere utilizzati insieme.

Ruoli

Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Per ottenere le autorizzazioni necessarie per creare regole firewall, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete Compute (roles/compute.networkAdmin) nella rete VPC. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Criteri dell'organizzazione consumer

Puoi utilizzare i criteri dell'organizzazione con elencare i vincoli per controllare il deployment Endpoint o backend di Private Service Connect. Se un endpoint o un backend è bloccato da un criterio dell'organizzazione di consumatori, la creazione della risorsa non va a buon fine.

Per ulteriori informazioni, consulta Criteri dell'organizzazione per i consumatori.

Impedisci a endpoint e backend di connettersi a collegamenti di servizi non autorizzati

Risorse: endpoint e backend

gcloud

Crea un file temporaneo denominato /tmp/policy.yaml per archiviare il nuovo regola. Aggiungi i seguenti contenuti al file:
```
name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/PRODUCER_ORG_NUMBER
        - under:organizations/433637338589
```
Sostituisci quanto segue:
- CONSUMER_ORG: il ID risorsa dell'organizzazione dell'organizzazione per cui vuoi controllare l'endpoint e il backend e connessioni a Internet.
- PRODUCER_ORG_NUMBER: l'ID risorsa numerica dell'organizzazione di produzione a cui vuoi consentire il collegamento di endpoint e backend.
Per impedire a endpoint e backend di connettersi ai collegamenti dei servizi di proprietà di Google, rimuovi il seguente elemento dalla Sezione allowedValues: - under:organizations/433637338589.

Per specificare altre organizzazioni che possono collegarsi agli allegati del servizio nel tuo progetto, includi voci aggiuntive nella sezione allowedValues.

Oltre alle organizzazioni, puoi specificare cartelle autorizzate di progetti nel seguente formato:
- under:folders/FOLDER_ID
  
  FOLDER_ID deve essere l'ID numerico.
- under:projects/PROJECT_ID
  
  PROJECT_ID deve essere l'ID stringa.
Ad esempio, quanto segue può essere utilizzato per creare un criterio di organizzazione che blocchi i collegamenti degli endpoint e dei backend in Consumer-org-1 agli allegati di servizio, a meno che questi ultimi non siano associati a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazione Producer-org-1 e il progetto Producer-project-1 e la cartella Producer-folder-1.
```
name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer
spec:
    rules:
      - values:
          allowedValues:
          - under:organizations/Producer-org-1
          - under:projects/Producer-project-1
          - under:folders/Producer-folder-1
```

Applica il criterio.

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza il criterio in vigore.

gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

Impedire ai consumatori di eseguire il deployment degli endpoint in base al tipo di connessione

Risorse: endpoint

gcloud

Crea un file temporaneo denominato /tmp/policy.yaml per archiviare il nuovo regola.
- Per impedire agli utenti di un'organizzazione consumer di creare endpoint che si connettono alle API di Google, aggiungi i seguenti contenuti al file:
```
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
spec:
  rules:
    - values:
        allowedValues:
        - SERVICE_PRODUCERS
```
- Per impedire agli utenti di un'organizzazione consumer di creare endpoint che si connettono ai servizi pubblicati, aggiungi i seguenti contenuti al file:
```
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
spec:
  rules:
    - values:
        allowedValues:
        - GOOGLE_APIS
```
Sostituisci CONSUMER_ORG con il nome del organizzazione consumer per cui vuoi controllare il deployment degli endpoint.

Applica il criterio.

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza il criterio in vigore.

gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

Regole firewall

Risorse: tutte

Puoi utilizzare le regole firewall VPC criteri firewall per controllare l'accesso alle risorse Private Service Connect. Le regole firewall in uscita possono bloccare o consentire l'accesso dalle istanze VM all'indirizzo IP o alla sottorete di endpoint e backend.

Ad esempio, la figura 1 descrive una configurazione in cui le regole firewall controllano alla subnet a cui è connesso l'endpoint Private Service Connect è connesso.

Le regole firewall controllano il traffico subnet endpoint. Il traffico da `vm-1` può raggiungere la subnet dell'endpoint mentre il traffico da `vm-2` è bloccato (fai clic per ingrandire).

La seguente regola firewall nega tutto il traffico in uscita alla sottorete dell'endpoint:

gcloud compute firewall-rules create deny-all \
    --network=vpc-1 \
    --direction=egress \
    --action=deny \
    --destination-ranges=10.33.0.0/24
    --priority=1000

La seguente regola firewall con priorità più elevata consente il traffico in uscita alla subnet dell'endpoint per le VM con il tag di rete allow-psc:

gcloud compute firewall-rules create allow-psc \
    --network=vpc-1 \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=10.33.0.0/24
    --priority=100

Utilizzare le regole firewall per limitare l'accesso a endpoint o backend

Per limitare l'accesso dalle VM alla sottorete di un endpoint o di un backend, procedi come segue.

Crea una regola firewall per negare il traffico in uscita verso l'endpoint o il backend una subnet.
```
gcloud compute firewall-rules create deny-all \
    --network=NETWORK \
    --direction=egress \
    --action=deny \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=1000
```
Sostituisci quanto segue:
- NETWORK: il nome della rete del tuo endpoint o del tuo backend.
- ENDPOINT_SUBNET_RANGE: l'intervallo IP CIDR del dell'endpoint o della subnet backend per cui vuoi controllare l'accesso.

Crea una seconda regola del firewall per consentire il traffico in uscita dalle VM taggate all'endpoint o alla subnet di backend.

gcloud compute firewall-rules create allow-psc \
    --network=NETWORK \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=100