管理 Private Service Connect 提供方的安全

本页面介绍了服务提供方如何为使用 Private Service Connect 的提供方组织和项目实现安全性。

使用方接受列表可让服务所有者指定可以连接到各个服务连接的网络或项目。组织政策也会控制对服务连接的访问,但可让网络管理员全面控制对组织中的所有服务连接的访问。

使用方接受列表与组织政策互为补充,可以结合使用。在此情况下,仅在 Private Service Connect 连接通过这两种安全机制进行授权时,系统才会创建 Private Service Connect 连接。

角色

如需获得管理组织政策所需的权限,请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

提供方组织政策

您可以将组织政策compute.restrictPrivateServiceConnectConsumer 列表限制条件结合使用来控制哪些端点和后端可以连接到 Private Service Connect 服务连接。 如果端点或后端被提供方组织政策拒绝,则资源的创建会成功,但连接会进入被拒绝状态。

如需了解详情,请参阅提供方端组织政策

拒绝来自未经授权的端点和后端的连接

资源:端点和后端

gcloud

  1. 创建一个名为 /tmp/policy.yaml 的临时文件来存储新政策。将以下内容添加到该文件中:

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    请替换以下内容:

    • PRODUCER_ORG:您要控制使用方 Private Service Connect 对其访问权限的提供方组织的组织 ID
    • CONSUMER_ORG_NUMBER:您要允许其连接到提供方组织中的服务连接的使用方组织的数字资源 ID。

    如需指定可连接到项目中的服务连接的其他组织,请在 allowedValues 部分中添加其他条目。

    除了组织之外,您还可以按以下形式指定已获授权的文件夹和项目:

    • under:folders/FOLDER_ID

      FOLDER_ID 必须是数字 ID。

    • under:projects/PROJECT_ID

      PROJECT_ID 必须是字符串 ID。

    例如,以下文件展示了一项组织政策配置,该配置会拒绝使用方将端点或后端连接到 Producer-org-1 中的服务连接,除非服务连接与允许的值或允许的值后代相关联。允许的值包括组织 Consumer-org-1、项目 Consumer-project-1 和文件夹 Consumer-folder-1

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. 应用该政策。

    gcloud org-policies set-policy /tmp/policy.yaml

  3. 查看有效的政策。

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

使用方接受和拒绝列表

资源:端点和后端

使用方接受和拒绝列表与服务连接相关联。这些列表可让您明确接受或拒绝来自使用方项目或网络的连接。

如需了解详情,请参阅使用方接受和拒绝列表

接受列表与组织政策之间的相互作用

使用方接受列表和组织政策都会控制是否可以在两个 Private Service Connect 资源之间建立连接。如果接受列表或组织政策拒绝连接,则系统会阻止连接。

例如,可以将使用 restrictPrivateServiceConnectConsumer 限制条件的政策配置为阻止来自提供方组织外部的连接。即使服务连接配置为自动接受所有连接,组织政策仍会阻止来自提供方组织外部的连接。我们建议您结合使用接受列表和组织政策,以帮助提供分层安全机制。

配置接受和拒绝列表

如需了解如何创建具有使用方接受或拒绝列表的新服务连接,请参阅发布经过明确项目批准的服务

如需了解如何更新使用方接受或拒绝列表,请参阅管理对已发布服务的访问请求