Gérer la sécurité pour les producteurs Private Service Connect

Cette page décrit comment les producteurs de services peuvent mettre en œuvre la sécurité pour les organisations et les projets producteur qui utilisent Private Service Connect.

Les listes d'acceptation des clients permettent aux propriétaires de services de spécifier des réseaux ou des projets pouvant se connecter à des rattachements de service individuels. Les règles d'administration contrôlent également l'accès aux rattachements de service, mais elles permettent aux administrateurs réseau de contrôler l'accès à tous les rattachements de service d'une organisation.

Les listes d'acceptation et les règles d'administration des clients sont complémentaires et peuvent être utilisées ensemble. Dans ce cas, une connexion Private Service Connect n'est créée que si elle est autorisée par ces deux mécanismes de sécurité.

Rôles

Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Règles d'administration pour les producteurs

Vous pouvez utiliser des règles d'administration avec la contrainte de liste compute.restrictPrivateServiceConnectConsumer pour contrôler les points de terminaison et les backends pouvant se connecter aux rattachements de service Private Service Connect. Si un point de terminaison ou un backend est refusé par une règle d'administration du producteur, la création de la ressource réussit, mais la connexion passe à l'état "Refusé".

Pour en savoir plus, consultez la section Règles d'administration côté producteur.

Refuser les connexions à partir de points de terminaison et de backends non autorisés

Ressources : points de terminaison et backends

gcloud

  1. Créez un fichier temporaire appelé /tmp/policy.yaml pour stocker la nouvelle règle. Ajoutez le contenu suivant au fichier  :

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    Remplacez les éléments suivants :

    • PRODUCER_ORG : ID d'organisation de l'organisation producteur dont vous souhaitez contrôler l'accès par le service Private Service Connect.
    • CONSUMER_ORG_NUMBER : ID de ressource numérique de l'organisation cliente que vous souhaitez autoriser à se connecter aux rattachements de service dans l'organisation de producteur.

    Pour spécifier des organisations supplémentaires pouvant se connecter aux rattachements de service dans votre projet, incluez des entrées supplémentaires dans la section allowedValues.

    En plus des organisations, vous pouvez spécifier des dossiers et des projets autorisés sous la forme suivante :

    • under:folders/FOLDER_ID

      FOLDER_ID doit être un ID numérique.

    • under:projects/PROJECT_ID

      PROJECT_ID doit être l'ID de la chaîne.

    Par exemple, le fichier suivant présente une configuration de règle d'administration qui empêche les clients de connecter des points de terminaison ou des backends aux rattachements de service dans Producer-org-1, sauf s'ils sont associés à une valeur autorisée ou s'ils sont un descendant d'une valeur autorisée. Les valeurs autorisées sont l'organisation Consumer-org-1, le projet Consumer-project-1 et le dossier Consumer-folder-1.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. Appliquez la règle.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Affichez la règle en vigueur.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Listes d'acceptation et de refus client

Ressources : points de terminaison et backends

Les listes d'acceptation et de refus client sont associées à des rattachements de service. Ces listes vous permettent d'accepter ou de refuser explicitement les connexions des projets ou réseaux clients.

Pour en savoir plus, consultez l'article Listes d'acceptation et de refus de clients.

Interaction entre les listes d'acceptation et les règles d'administration

Les listes d'acceptation et les règles d'administration permettent de contrôler si une connexion peut être établie entre deux ressources Private Service Connect. Les connexions sont bloquées si une liste d'acceptation ou une règle d'administration refuse la connexion.

Par exemple, une règle avec la contrainte restrictPrivateServiceConnectConsumer peut être configurée pour bloquer les connexions provenant de l'extérieur de l'organisation du producteur. Même si un rattachement de service est configuré pour accepter automatiquement toutes les connexions, la règle d'administration bloque toujours les connexions en dehors de l'organisation du producteur. Nous vous recommandons d'utiliser à la fois des listes d'acceptation et des règles d'administration pour assurer une sécurité multicouche.

Configurer des listes d'acceptation et de refus

Pour en savoir plus sur la création d'un rattachement de service contenant des listes d'acceptation ou de refus du client, consultez la page Publier un service avec approbation explicite du projet.

Pour en savoir plus sur la mise à jour des listes d'acceptation ou de refus du client, consultez la page Gérer les requêtes d'accès à un service publié.