Sicherheit für Private Service Connect-Ersteller verwalten

Auf dieser Seite wird beschrieben, wie Dienstersteller die Sicherheit für Erstellerorganisationen und -projekte implementieren können, die Private Service Connect verwenden.

Mit Nutzerakzeptanzlisten können Dienstinhaber Netzwerke oder Projekte angeben, die eine Verbindung zu einzelnen Dienstanhängen herstellen können. Mit Organisationsrichtlinien wird auch der Zugriff auf Dienstanhänge gesteuert. Netzwerkadministratoren können jedoch den Zugriff auf alle Dienstanhänge in einer Organisation umfassend steuern.

Nutzerakzeptanzlisten und Organisationsrichtlinien ergänzen sich und können zusammen verwendet werden. In diesem Fall wird eine Private Service Connect-Verbindung nur erstellt, wenn sie von beiden Sicherheitsmechanismen autorisiert wird.

Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Organisationsrichtlinien für Producer

Sie können Organisationsrichtlinien mit der Listeneinschränkung compute.restrictPrivateServiceConnectConsumer verwenden, um zu steuern, welche Endpunkte und Back-Ends eine Verbindung zu Private Service Connect-Dienstanhängen herstellen können. Wenn ein Endpunkt oder ein Backend durch eine Organisationsrichtlinie für den Ersteller abgelehnt wird, ist die Erstellung der Ressource erfolgreich, aber die Verbindung wechselt in den Ablehnungsstatus.

Weitere Informationen finden Sie unter Organisationsrichtlinien auf Producer-Seite.

Verbindungen von nicht autorisierten Endpunkten und Backends ablehnen

Ressourcen: Endpunkte und Back-Ends

gcloud

  1. Erstellen Sie eine temporäre Datei mit dem Namen /tmp/policy.yaml, um die neue Richtlinie zu speichern. Fügen Sie der Datei den folgenden Inhalt hinzu.

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    Ersetzen Sie Folgendes:

    • PRODUCER_ORG: die Organisations-ID der Erstellerorganisation, auf die Sie den Private Service Connect-Zugriff steuern möchten.
    • CONSUMER_ORG_NUMBER: die numerische Ressourcen-ID der Nutzerorganisation, die eine Verbindung zu Dienstanhängen in der Erstellerorganisation zulassen soll.

    Wenn Sie zusätzliche Organisationen angeben möchten, die eine Verbindung zu Dienstanhängen in Ihrem Projekt herstellen können, fügen Sie zusätzliche Einträge im Abschnitt allowedValues ein.

    Zusätzlich zu Organisationen können Sie autorisierte Ordner und Projekte im folgenden Format angeben:

    • under:folders/FOLDER_ID

      Die FOLDER_ID muss die numerische ID sein.

    • under:projects/PROJECT_ID

      Die PROJECT_ID muss die String-ID sein.

    Die folgende Datei zeigt beispielsweise eine Organisationsrichtlinienkonfiguration, die Verbindungen von Endpunkten oder Backends zu Dienstanhängen in Producer-org-1 ablehnt, es sei denn, sie sind einem zulässigen Wert oder einem untergeordneten Element eines zulässigen Werts zugeordnet. Zulässige Werte sind die Organisation Consumer-org-1, das Projekt Consumer-project-1 und der Ordner Consumer-folder-1.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. Wenden Sie die Richtlinie an:

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Rufen Sie die geltende Richtlinie auf.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Nutzerannahmelisten und Nutzerablehnungslisten

Ressourcen: Endpunkte und Back-Ends

Nutzerlisten zur Annahme und Ablehnung sind mit Dienstanhängen verknüpft. Mit diesen Listen können Sie Verbindungen von Nutzerprojekten oder Netzwerken explizit akzeptieren oder ablehnen.

Weitere Informationen finden Sie unter Nutzerlisten akzeptieren und ablehnen.

Interaktion zwischen Annahmelisten und Organisationsrichtlinien

Sowohl Nutzerzulassungslisten als auch Organisationsrichtlinien steuern, ob eine Verbindung zwischen zwei Private Service Connect-Ressourcen hergestellt werden kann. Verbindungen werden blockiert, wenn entweder die Annahmeliste oder eine Organisationsrichtlinie die Verbindung ablehnt.

Beispielsweise kann eine Richtlinie mit der Einschränkung restrictPrivateServiceConnectConsumer konfiguriert werden, um Verbindungen von außerhalb der Organisation des Erstellers zu blockieren. Auch wenn ein Dienstanhang so konfiguriert ist, dass automatisch alle Verbindungen akzeptiert werden, blockiert die Organisationsrichtlinie weiterhin Verbindungen von außerhalb der Organisation des Erstellers. Wir empfehlen, sowohl Zulassungslisten als auch Organisationsrichtlinien zu verwenden, um ein höheres Maß an Sicherheit zu bieten.

Annahme- und Ablehnungslisten konfigurieren

Informationen zum Erstellen eines neuen Dienstanhangs mit Listen, die Nutzer akzeptieren oder ablehnen, finden Sie unter Dienst mit expliziter Projektgenehmigung veröffentlichen.

Informationen zum Aktualisieren von Annahme- oder Ablehnungslisten für Nutzer finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.