Gestisci la sicurezza per i producer di Private Service Connect
Questa pagina descrive in che modo i producer di servizi possono implementare la sicurezza per il producer di organizzazioni e progetti che usano Private Service Connect.
Le liste di accettazione del consumer consentono ai proprietari di servizi di specificare le reti o i progetti che possono connettersi ai singoli collegamenti di servizio. Anche i Criteri dell'organizzazione controllano l'accesso agli allegati dei servizi, ma consentono agli amministratori di rete di controllare in modo generale l'accesso a tutti gli allegati dei servizi di un'organizzazione.
Gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione sono complementari e possono essere utilizzati insieme. In questo caso, Private Service Connect la connessione viene creata soltanto se è autorizzata da entrambe le soluzioni di sicurezza i meccanismi della ricerca di informazioni.
Ruoli
Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin
) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Criteri dell'organizzazione del produttore
Puoi utilizzare i criteri dell'organizzazione con il
compute.restrictPrivateServiceConnectConsumer
vincolo di elenco per controllare quali endpoint e backend possono collegarsi ai collegamenti di servizio Private Service Connect. Se un endpoint o un backend viene rifiutato da un criterio dell'organizzazione del produttore, la creazione della risorsa va a buon fine, ma la connessione passa allo stato rifiutato.
Per maggiori informazioni, consulta i criteri dell'organizzazione lato producer.
Rifiuta le connessioni da endpoint e backend non autorizzati
Risorse: endpoint e backend
gcloud
Crea un file temporaneo denominato
/tmp/policy.yaml
per archiviare il nuovo . Aggiungi i seguenti contenuti al file:name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/CONSUMER_ORG_NUMBER
Sostituisci quanto segue:
PRODUCER_ORG
: il ID organizzazione dell'organizzazione producer che vuoi controllare Accesso a Private Service Connect a.CONSUMER_ORG_NUMBER
: l'ID numerico della risorsa dell'organizzazione consumer a cui vuoi consentire la connessione agli allegati di servizio nell'organizzazione del produttore.
Per specificare altre organizzazioni che possono collegarsi agli allegati del servizio nel tuo progetto, includi voci aggiuntive nella sezione
allowedValues
.Oltre alle organizzazioni, puoi specificare le cartelle e i progetti autorizzati nel seguente formato:
under:folders/FOLDER_ID
FOLDER_ID
deve essere l'ID numerico.under:projects/PROJECT_ID
PROJECT_ID
deve essere l'ID stringa.
Ad esempio, il file seguente mostra una configurazione dei criteri dell'organizzazione che rifiuta le connessioni da endpoint o backend agli allegati dei servizi in
Producer-org-1
, a meno che non siano associati a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazioneConsumer-org-1
, il progettoConsumer-project-1
, e la cartellaConsumer-folder-1
.name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/Consumer-org-1 - under:projects/Consumer-project-1 - under:folders/Consumer-folder-1
Applica il criterio.
gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio in vigore.
gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \ --effective \ --organization=PRODUCER_ORG
Elenchi di accettazione e rifiuto da parte del consumatore
Risorse: endpoint e backend
Gli elenchi di accettazione e rifiuto dei consumer sono associati ai collegamenti di servizio. Questi elenchi ti consentono di accettare o rifiutare esplicitamente le connessioni da progetti o reti consumer.
Per maggiori informazioni, vedi Liste di accettazione e rifiuto dei consumatori.
Interazione tra gli elenchi di accettazione e i criteri dell'organizzazione
Sia gli elenchi di accettazione dei consumatori sia i criteri dell'organizzazione controllano se è possibile stabilire una connessione tra due risorse Private Service Connect. Le connessioni sono bloccate se una lista di accettazione o un criterio dell'organizzazione nega la connessione.
Ad esempio, un criterio con il vincolo restrictPrivateServiceConnectConsumer
può
Essere configurata in modo da bloccare le connessioni dall'esterno dell'organizzazione del producer. Anche se
collegamento al servizio è configurato per accettare automaticamente tutte le connessioni, l'organizzazione
il criterio blocca comunque le connessioni dall'esterno dell'organizzazione del producer. Ti consigliamo di utilizzare contemporaneamente le liste consentite e i criteri dell'organizzazione per contribuire a fornire una sicurezza a più livelli.
Configura gli elenchi di accettazione e rifiuto
Per informazioni su come creare un nuovo allegato del servizio con elenchi di accettazione o rifiuto dei consumatori, consulta Pubblicare un servizio con approvazione esplicita del progetto.
Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto dei consumatori, consulta Gestire le richieste di accesso a un servizio pubblicato.