Gestisci la sicurezza per i producer di Private Service Connect

Questa pagina descrive in che modo i producer di servizi possono implementare la sicurezza per il producer di organizzazioni e progetti che usano Private Service Connect.

Gli elenchi di accettazione dei consumer consentono ai proprietari dei servizi di specificare reti o di progetti che possono connettersi a singoli collegamenti di servizio. Anche i criteri dell'organizzazione controllare l'accesso ai collegamenti ai servizi, ma consentono gli amministratori controllano l'accesso a tutti i collegamenti dei servizi dell'organizzazione.

Gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione sono complementari e possono essere utilizzati insieme. In questo caso, Private Service Connect viene creata soltanto se è autorizzata da entrambi i sistemi di sicurezza i meccanismi della ricerca di informazioni.

Ruoli

Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione, chiedi all'amministratore di concederti Ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Criteri dell'organizzazione del producer

Puoi utilizzare i criteri dell'organizzazione con compute.restrictPrivateServiceConnectConsumer elencare il vincolo per controllare quali endpoint e backend possono connettersi ai collegamenti di servizio Private Service Connect. Se un endpoint o backend è rifiutato da un criterio dell'organizzazione producer, la creazione la risorsa riesce, ma la connessione entra nello stato rifiutato.

Per maggiori informazioni, consulta i criteri dell'organizzazione lato producer.

Rifiuta le connessioni da endpoint e backend non autorizzati

Risorse: endpoint e backend

gcloud

  1. Crea un file temporaneo denominato /tmp/policy.yaml per archiviare il nuovo . Aggiungi i seguenti contenuti al file:

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    Sostituisci quanto segue:

    • PRODUCER_ORG: il valore ID organizzazione dell'organizzazione producer che vuoi controllare Accesso a Private Service Connect a.
    • CONSUMER_ORG_NUMBER: l'ID risorsa numerico di l'organizzazione consumer che vuoi consentire di connetterti al servizio i collegamenti nell'organizzazione produttrice.

    Per specificare altre organizzazioni che possono connettersi al servizio allegati al progetto, includi voci aggiuntive Sezione allowedValues.

    Oltre alle organizzazioni, puoi specificare cartelle autorizzate di progetti nel seguente formato:

    • under:folders/FOLDER_ID

      FOLDER_ID deve essere l'ID numerico.

    • under:projects/PROJECT_ID

      PROJECT_ID deve essere l'ID stringa.

    Ad esempio, il file seguente mostra una configurazione dei criteri dell'organizzazione che rifiuta le connessioni da endpoint o backend al servizio allegati in Producer-org-1, a meno che non siano associati a un valore consentito o un discendente di un valore consentito. I valori consentiti sono l'organizzazione Consumer-org-1, il progetto Consumer-project-1, e la cartella Consumer-folder-1.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. Applica il criterio.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Visualizza il criterio in vigore.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Elenchi di accettazione e rifiuto da parte del consumatore

Risorse: endpoint e backend

Gli elenchi di accettazione e rifiuto dei consumer sono associati ai collegamenti dei servizi. Questi consente di accettare o negare esplicitamente le connessioni dai progetti dei consumatori reti.

Per maggiori informazioni, vedi Liste di accettazione e rifiuto dei consumatori.

Interazione tra gli elenchi di accettazione e i criteri dell'organizzazione

Sia gli elenchi di accettazione dei consumer che i criteri dell'organizzazione stabiliscono se una connessione può tra due risorse Private Service Connect. Le connessioni sono bloccate se una lista di accettazione o un criterio dell'organizzazione nega la connessione.

Ad esempio, un criterio con il vincolo restrictPrivateServiceConnectConsumer può essere configurato in modo da bloccare le connessioni dall'esterno dell'organizzazione del producer. Anche se collegamento al servizio è configurato per accettare automaticamente tutte le connessioni, l'organizzazione il criterio blocca comunque le connessioni dall'esterno dell'organizzazione del producer. I nostri suggerimenti utilizzando contemporaneamente sia elenchi di accettazione che criteri dell'organizzazione per fornire dati su più livelli sicurezza.

Configura elenchi di accettazione e rifiuto

Per informazioni su come creare un nuovo collegamento a un servizio con consumer accettare o rifiutare elenchi, consulta Pubblicare un servizio con l'approvazione esplicita del progetto.

Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto del consumatore, vedi Gestire le richieste di accesso a un servizio pubblicato.