Cette page a été traduite par l'API Cloud Translation.

Gérer la sécurité pour les producteurs Private Service Connect

Cette page explique comment les producteurs de services peuvent implémenter la sécurité pour les organisations et les projets producteurs qui utilisent Private Service Connect.

Les listes d'acceptation des clients permettent aux propriétaires de services de spécifier les réseaux ou les projets pouvant se connecter à des rattachements de service individuels. Les règles d'administration contrôlent également l'accès aux pièces jointes de service, mais elles permettent aux administrateurs réseau de contrôler de manière générale l'accès à toutes les pièces jointes de service d'une organisation.

Les listes d'acceptation des clients et les règles d'administration sont complémentaires et peuvent être utilisées ensemble. Dans ce cas, une connexion Private Service Connect n'est créée que si elle est autorisée par ces deux mécanismes de sécurité.

Rôles

Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Règles d'administration pour les producteurs

Vous pouvez utiliser des règles d'administration avec la contrainte de liste compute.restrictPrivateServiceConnectConsumer pour contrôler les points de terminaison et les backends pouvant se connecter aux rattachements de service Private Service Connect. Si un point de terminaison ou un backend est refusé par une règle d'administration du producteur, la création de la ressource réussit, mais la connexion passe à l'état "Refusé".

Pour en savoir plus, consultez la section Règles d'administration côté producteur.

Refuser les connexions à partir de points de terminaison et de backends non autorisés

Ressources : points de terminaison et backends

gcloud

Créez un fichier temporaire nommé /tmp/policy.yaml pour stocker la nouvelle règle. Ajoutez le contenu suivant au fichier :
```
name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER
```
Remplacez les éléments suivants :
- PRODUCER_ORG : ID d'organisation de l'organisation producteur dont vous souhaitez contrôler l'accès par le service Private Service Connect.
- CONSUMER_ORG_NUMBER : ID de ressource numérique de l'organisation cliente que vous souhaitez autoriser à se connecter aux rattachements de service dans l'organisation de producteur.
Pour spécifier des organisations supplémentaires pouvant se connecter à des rattachements de service dans votre projet, incluez des entrées supplémentaires dans la section allowedValues.

En plus des organisations, vous pouvez spécifier des dossiers et des projets autorisés sous la forme suivante :
- under:folders/FOLDER_ID
  
  FOLDER_ID doit être l'ID numérique.
- under:projects/PROJECT_ID
  
  PROJECT_ID doit être l'ID de la chaîne.
Par exemple, le fichier suivant présente une configuration de règle d'administration qui empêche les clients de connecter des points de terminaison ou des backends aux rattachements de service dans Producer-org-1, sauf s'ils sont associés à une valeur autorisée ou s'ils sont un descendant d'une valeur autorisée. Les valeurs autorisées sont l'organisation Consumer-org-1, le projet Consumer-project-1 et le dossier Consumer-folder-1.
```
name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1
```

Appliquez la règle.

gcloud org-policies set-policy /tmp/policy.yaml

Affichez la règle en vigueur.

gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Listes d'acceptation et de refus client

Ressources : points de terminaison et backends

Les listes d'acceptation et de refus client sont associées aux rattachements de service. Ces listes vous permettent d'accepter ou de refuser explicitement les connexions des projets ou réseaux clients.

Pour en savoir plus, consultez Listes d'acceptation et de refus des consommateurs.

Interaction entre les listes d'acceptation et les règles d'administration

Les listes d'acceptation des clients et les règles d'administration déterminent si une connexion peut être établie entre deux ressources Private Service Connect. Les connexions sont bloquées si une liste d'acceptation ou une règle d'administration de l'organisation refuse la connexion.

Par exemple, une règle avec la contrainte restrictPrivateServiceConnectConsumer peut être configurée pour bloquer les connexions en dehors de l'organisation du producteur. Même si un rattachement de service est configuré pour accepter automatiquement toutes les connexions, la règle de l'organisation bloque toujours les connexions provenant de l'extérieur de l'organisation du producteur. Nous vous recommandons d'utiliser à la fois les listes d'acceptation et les règles d'administration pour renforcer la sécurité en couches.

Configurer des listes d'acceptation et de refus

Pour en savoir plus sur la création d'un nouveau rattachement de service incluant des listes d'acceptation ou de refus client, consultez la page Publier un service avec approbation explicite du projet.

Pour savoir comment mettre à jour les listes d'acceptation ou de refus des consommateurs, consultez la section Gérer les requêtes d'accès à un service publié.