Sicherheit für Private Service Connect-Ersteller verwalten
Auf dieser Seite wird beschrieben, wie Dienstersteller die Sicherheit für Erstellerorganisationen und -projekte implementieren können, die Private Service Connect verwenden.
Mit Nutzerakzeptanzlisten können Dienstinhaber Netzwerke oder Projekte angeben, die eine Verbindung zu einzelnen Dienstanhängen herstellen können. Mit Organisationsrichtlinien wird auch der Zugriff auf Dienstanhänge gesteuert. Netzwerkadministratoren können jedoch den Zugriff auf alle Dienstanhänge in einer Organisation umfassend steuern.
Nutzerakzeptanzlisten und Organisationsrichtlinien ergänzen sich und können zusammen verwendet werden. In diesem Fall wird eine Private Service Connect-Verbindung nur erstellt, wenn sie von beiden Sicherheitsmechanismen autorisiert wird.
Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin
) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Organisationsrichtlinien für Producer
Sie können Organisationsrichtlinien mit der Listeneinschränkung compute.restrictPrivateServiceConnectConsumer
verwenden, um zu steuern, welche Endpunkte und Back-Ends eine Verbindung zu Private Service Connect-Dienstanhängen herstellen können. Wenn ein Endpunkt oder ein Backend durch eine Organisationsrichtlinie für den Ersteller abgelehnt wird, ist die Erstellung der Ressource erfolgreich, aber die Verbindung wechselt in den Ablehnungsstatus.
Weitere Informationen finden Sie unter Organisationsrichtlinien auf Producer-Seite.
Verbindungen von nicht autorisierten Endpunkten und Backends ablehnen
Ressourcen: Endpunkte und Back-Ends
gcloud
Erstellen Sie eine temporäre Datei mit dem Namen
/tmp/policy.yaml
, um die neue Richtlinie zu speichern. Fügen Sie der Datei den folgenden Inhalt hinzu.name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/CONSUMER_ORG_NUMBER
Ersetzen Sie Folgendes:
PRODUCER_ORG
: die Organisations-ID der Erstellerorganisation, auf die Sie den Private Service Connect-Zugriff steuern möchten.CONSUMER_ORG_NUMBER
: die numerische Ressourcen-ID der Nutzerorganisation, die eine Verbindung zu Dienstanhängen in der Erstellerorganisation zulassen soll.
Wenn Sie zusätzliche Organisationen angeben möchten, die eine Verbindung zu Dienstanhängen in Ihrem Projekt herstellen können, fügen Sie zusätzliche Einträge im Abschnitt
allowedValues
ein.Zusätzlich zu Organisationen können Sie autorisierte Ordner und Projekte im folgenden Format angeben:
under:folders/FOLDER_ID
Die
FOLDER_ID
muss die numerische ID sein.under:projects/PROJECT_ID
Die
PROJECT_ID
muss die String-ID sein.
Die folgende Datei zeigt beispielsweise eine Organisationsrichtlinienkonfiguration, die Verbindungen von Endpunkten oder Backends zu Dienstanhängen in
Producer-org-1
ablehnt, es sei denn, sie sind einem zulässigen Wert oder einem untergeordneten Element eines zulässigen Werts zugeordnet. Zulässige Werte sind die OrganisationConsumer-org-1
, das ProjektConsumer-project-1
und der OrdnerConsumer-folder-1
.name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/Consumer-org-1 - under:projects/Consumer-project-1 - under:folders/Consumer-folder-1
Wenden Sie die Richtlinie an:
gcloud org-policies set-policy /tmp/policy.yaml
Rufen Sie die geltende Richtlinie auf.
gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \ --effective \ --organization=PRODUCER_ORG
Nutzerannahmelisten und Nutzerablehnungslisten
Ressourcen: Endpunkte und Back-Ends
Nutzerlisten zur Annahme und Ablehnung sind mit Dienstanhängen verknüpft. Mit diesen Listen können Sie Verbindungen von Nutzerprojekten oder Netzwerken explizit akzeptieren oder ablehnen.
Weitere Informationen finden Sie unter Nutzerlisten akzeptieren und ablehnen.
Interaktion zwischen Annahmelisten und Organisationsrichtlinien
Sowohl Nutzerzulassungslisten als auch Organisationsrichtlinien steuern, ob eine Verbindung zwischen zwei Private Service Connect-Ressourcen hergestellt werden kann. Verbindungen werden blockiert, wenn entweder die Annahmeliste oder eine Organisationsrichtlinie die Verbindung ablehnt.
Beispielsweise kann eine Richtlinie mit der Einschränkung restrictPrivateServiceConnectConsumer
konfiguriert werden, um Verbindungen von außerhalb der Organisation des Erstellers zu blockieren. Auch wenn ein Dienstanhang so konfiguriert ist, dass automatisch alle Verbindungen akzeptiert werden, blockiert die Organisationsrichtlinie weiterhin Verbindungen von außerhalb der Organisation des Erstellers. Wir empfehlen, sowohl Zulassungslisten als auch Organisationsrichtlinien zu verwenden, um ein höheres Maß an Sicherheit zu bieten.
Annahme- und Ablehnungslisten konfigurieren
Informationen zum Erstellen eines neuen Dienstanhangs mit Listen, die Nutzer akzeptieren oder ablehnen, finden Sie unter Dienst mit expliziter Projektgenehmigung veröffentlichen.
Informationen zum Aktualisieren von Annahme- oder Ablehnungslisten für Nutzer finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.