Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire la sicurezza per i producer di Private Service Connect

Questa pagina descrive in che modo i producer di servizi possono implementare la sicurezza per le organizzazioni producer e i progetti che utilizzano Private Service Connect.

Gli elenchi di accettazione dei consumatori consentono ai proprietari del servizio di specificare reti o progetti che possono connettersi a singoli collegamenti ai servizi. Anche i criteri dell'organizzazione controllano l'accesso ai collegamenti ai servizi, ma consentono agli amministratori di rete di controllare ampiamente l'accesso a tutti i collegamenti ai servizi di un'organizzazione.

Gli elenchi di accettazione dei consumatori e le norme dell'organizzazione sono complementari. In questo caso, una connessione Private Service Connect viene creata solo se è autorizzata da entrambi i meccanismi di sicurezza.

Ruoli

Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin) per l'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Criteri dell'organizzazione del producer

Puoi utilizzare i criteri dell'organizzazione con il compute.restrictPrivateServiceConnectConsumer vincolo dell'elenco per controllare quali endpoint e backend possono connettersi ai collegamenti del servizio Private Service Connect. Se un endpoint o un backend viene rifiutato da un criterio dell'organizzazione del producer, la creazione della risorsa va a buon fine, ma la connessione entra nello stato rifiutato.

Per maggiori informazioni, consulta la sezione Criteri dell'organizzazione lato producer.

Rifiuta le connessioni da endpoint e backend non autorizzati

Risorse: endpoint e backend

gcloud

Crea un file temporaneo denominato /tmp/policy.yaml per archiviare il nuovo criterio. Aggiungi i seguenti contenuti al file:
```
name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER
```
Sostituisci quanto segue:
- PRODUCER_ORG: l'ID organizzazione dell'organizzazione producer di cui vuoi controllare l'accesso Private Service Connect della versione consumer.
- CONSUMER_ORG_NUMBER: l'ID risorsa numerico dell'organizzazione consumer che vuoi consentire di connettersi ai collegamenti ai servizi nell'organizzazione producer.
Per specificare altre organizzazioni che possono connettersi ai collegamenti ai servizi nel tuo progetto, includi voci aggiuntive nella sezione allowedValues.

Oltre alle organizzazioni, puoi specificare cartelle e progetti autorizzati nel seguente formato:
- under:folders/FOLDER_ID
  
  FOLDER_ID deve essere l'ID numerico.
- under:projects/PROJECT_ID
  
  PROJECT_ID deve essere l'ID stringa.
Ad esempio, il file seguente mostra una configurazione dei criteri dell'organizzazione che rifiuta le connessioni da endpoint o backend agli allegati di servizi in Producer-org-1, a meno che non siano associate a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazione Consumer-org-1, il progetto Consumer-project-1 e la cartella Consumer-folder-1.
```
name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1
```

Applica il criterio.

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza il criterio in vigore.

gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Elenchi di accettazione e rifiuto dei consumatori

Risorse: endpoint e backend

Gli elenchi di accettazione e rifiuto dei consumatori sono associati ai collegamenti ai servizi. Questi elenchi ti consentono di accettare o negare esplicitamente le connessioni da progetti o reti consumer.

Per ulteriori informazioni, vedi Elenchi di accettazione e rifiuto dei consumatori.

Interazione tra elenchi di accettazione e criteri dell'organizzazione

Sia gli elenchi di accettazione dei consumer che i criteri dell'organizzazione controllano se è possibile stabilire una connessione tra due risorse Private Service Connect. Le connessioni vengono bloccate se un elenco di accettazione o un criterio dell'organizzazione nega la connessione.

Ad esempio, è possibile configurare un criterio con il vincolo restrictPrivateServiceConnectConsumer per bloccare le connessioni dall'esterno dell'organizzazione del producer. Anche se il collegamento di un servizio è configurato per accettare automaticamente tutte le connessioni, il criterio dell'organizzazione blocca comunque le connessioni esterne all'organizzazione del producer. Ti consigliamo di utilizzare insieme gli elenchi di accettazione e i criteri dell'organizzazione per fornire una sicurezza a più livelli.

Configura elenchi di accettazione e rifiuto

Per informazioni su come creare un nuovo collegamento a un servizio con elenchi di accettazione o rifiuto dei consumer, consulta Pubblicare un servizio con l'approvazione esplicita del progetto.

Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto dei consumatori, consulta Gestire le richieste di accesso a un servizio pubblicato.