Gestisci la sicurezza per i producer di Private Service Connect
Questa pagina descrive in che modo i producer di servizi possono implementare la sicurezza per il producer di organizzazioni e progetti che usano Private Service Connect.
Gli elenchi di accettazione dei consumer consentono ai proprietari dei servizi di specificare reti o di progetti che possono connettersi a singoli collegamenti di servizio. Anche i criteri dell'organizzazione controllare l'accesso ai collegamenti ai servizi, ma consentono gli amministratori controllano l'accesso a tutti i collegamenti dei servizi dell'organizzazione.
Gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione sono complementari e possono essere utilizzati insieme. In questo caso, Private Service Connect viene creata soltanto se è autorizzata da entrambi i sistemi di sicurezza i meccanismi della ricerca di informazioni.
Ruoli
Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin
) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.
Criteri dell'organizzazione del producer
Puoi utilizzare i criteri dell'organizzazione con
compute.restrictPrivateServiceConnectConsumer
elencare il vincolo per controllare quali endpoint e backend possono
connettersi ai collegamenti di servizio Private Service Connect. Se un endpoint
o backend è rifiutato da un criterio dell'organizzazione producer, la creazione
la risorsa riesce, ma la connessione entra nello stato rifiutato.
Per maggiori informazioni, consulta i criteri dell'organizzazione lato producer.
Rifiuta le connessioni da endpoint e backend non autorizzati
Risorse: endpoint e backend
gcloud
Crea un file temporaneo denominato
/tmp/policy.yaml
per archiviare il nuovo . Aggiungi i seguenti contenuti al file:name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/CONSUMER_ORG_NUMBER
Sostituisci quanto segue:
PRODUCER_ORG
: il valore ID organizzazione dell'organizzazione producer che vuoi controllare Accesso a Private Service Connect a.CONSUMER_ORG_NUMBER
: l'ID risorsa numerico di l'organizzazione consumer che vuoi consentire di connetterti al servizio i collegamenti nell'organizzazione produttrice.
Per specificare altre organizzazioni che possono connettersi al servizio allegati al progetto, includi voci aggiuntive Sezione
allowedValues
.Oltre alle organizzazioni, puoi specificare cartelle autorizzate di progetti nel seguente formato:
under:folders/FOLDER_ID
FOLDER_ID
deve essere l'ID numerico.under:projects/PROJECT_ID
PROJECT_ID
deve essere l'ID stringa.
Ad esempio, il file seguente mostra una configurazione dei criteri dell'organizzazione che rifiuta le connessioni da endpoint o backend al servizio allegati in
Producer-org-1
, a meno che non siano associati a un valore consentito o un discendente di un valore consentito. I valori consentiti sono l'organizzazioneConsumer-org-1
, il progettoConsumer-project-1
, e la cartellaConsumer-folder-1
.name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/Consumer-org-1 - under:projects/Consumer-project-1 - under:folders/Consumer-folder-1
Applica il criterio.
gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio in vigore.
gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \ --effective \ --organization=PRODUCER_ORG
Elenchi di accettazione e rifiuto da parte del consumatore
Risorse: endpoint e backend
Gli elenchi di accettazione e rifiuto dei consumer sono associati ai collegamenti dei servizi. Questi consente di accettare o negare esplicitamente le connessioni dai progetti dei consumatori reti.
Per maggiori informazioni, vedi Liste di accettazione e rifiuto dei consumatori.
Interazione tra gli elenchi di accettazione e i criteri dell'organizzazione
Sia gli elenchi di accettazione dei consumer che i criteri dell'organizzazione stabiliscono se una connessione può tra due risorse Private Service Connect. Le connessioni sono bloccate se una lista di accettazione o un criterio dell'organizzazione nega la connessione.
Ad esempio, un criterio con il vincolo restrictPrivateServiceConnectConsumer
può
essere configurato in modo da bloccare le connessioni dall'esterno dell'organizzazione del producer. Anche se
collegamento al servizio è configurato per accettare automaticamente tutte le connessioni, l'organizzazione
il criterio blocca comunque le connessioni dall'esterno dell'organizzazione del producer. I nostri suggerimenti
utilizzando contemporaneamente sia elenchi di accettazione che criteri dell'organizzazione per fornire dati su più livelli
sicurezza.
Configura elenchi di accettazione e rifiuto
Per informazioni su come creare un nuovo collegamento a un servizio con consumer accettare o rifiutare elenchi, consulta Pubblicare un servizio con l'approvazione esplicita del progetto.
Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto del consumatore, vedi Gestire le richieste di accesso a un servizio pubblicato.