Administrar la seguridad de los productores de Private Service Connect

En esta página, se describe cómo los productores de servicios pueden implementar la seguridad para las organizaciones y los proyectos de productores que usan Private Service Connect.

Las listas de aceptación del consumidor permiten que los propietarios del servicio especifiquen redes o proyectos que pueden conectarse a adjuntos de servicio individuales. Las políticas de la organización también controlan el acceso a los adjuntos de servicio, pero permiten que los administradores de red controlen de forma amplia el acceso a todos los adjuntos de servicio en una organización.

Las listas de aceptación del consumidor y las políticas de la organización son complementarias y se pueden usar juntas. En este caso, una conexión de Private Service Connect solo se crea si está autorizado por ambos mecanismos de seguridad.

Roles

Para obtener los permisos que necesitas a fin de administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Políticas de la organización del productor

Puedes usar las políticas de la organización con la restricción de lista compute.restrictPrivateServiceConnectConsumer para controlar qué extremos y backends pueden conectarse a los adjuntos del servicio de Private Service Connect. Si una política de la organización del productor rechaza un extremo o un backend, la creación del recurso se realiza de forma correcta pero la conexión entra en el estado de rechazado.

Para obtener más información, consulta Políticas de la organización del lado del productor.

Rechazar conexiones de extremos y backends no autorizados

Recursos: extremos y backends

gcloud

  1. Crea un archivo temporal llamado /tmp/policy.yaml para almacenar la nueva política. Agrega el siguiente contenido al archivo:

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    Reemplaza lo siguiente:

    • PRODUCER_ORG: Es el ID de organización de la organización del productor a la que deseas controlar el acceso del consumidor de Private Service Connect.
    • CONSUMER_ORG_NUMBER: Es el ID de recurso numérico de la organización del consumidor que deseas que se conecte a los adjuntos de servicio en la organización del productor.

    Para especificar las organizaciones adicionales que pueden conectarse a los adjuntos de servicio en tu proyecto, incluye entradas adicionales en la sección allowedValues.

    Además de las organizaciones, puedes especificar las carpetas y los proyectos autorizados de la siguiente manera:

    • under:folders/FOLDER_ID

      El FOLDER_ID debe ser el ID numérico.

    • under:projects/PROJECT_ID

      El PROJECT_ID debe ser el ID de la cadena.

    Por ejemplo, en el siguiente archivo se muestra una configuración de política de la organización que impide que los consumidores conecten extremos o backends a adjuntos de servicio en Producer-org-1 a menos que estén asociados con un valor permitido o un subordinado de un valor permitido. Los valores permitidos son la organización Consumer-org-1, el proyecto Consumer-project-1 y de carpeta Consumer-folder-1.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. Aplicar la política.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Consultar la política vigente.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Listas de aceptación y rechazo del consumidor

Recursos: extremos y backends

Las listas de aceptación y rechazo del consumidor están asociadas con los adjuntos de servicio. Estas listas te permiten aceptar o rechazar de forma explícita las conexiones de redes o proyectos del consumidor.

Para obtener más información, consulta Listas de aceptación y rechazo del consumidor.

Interacción entre las listas de aceptación y las políticas de la organización

Tanto las listas de aceptación del consumidor como las políticas de la organización controlan si se puede establecer una conexión entre dos recursos de Private Service Connect. Las conexiones se bloquean si una lista de aceptación o una política de la organización rechaza la conexión.

Por ejemplo, una política con la restricción restrictPrivateServiceConnectConsumer se puede configurar para bloquear las conexiones desde fuera de la organización del productor. Incluso si un adjunto de servicio está configurado para aceptar todas las conexiones de forma automática, la política de la organización aún bloquea las conexiones desde fuera de la organización del productor. Recomendamos usar las listas de aceptación y las políticas de la organización en conjunto para ayudar a proporcionar seguridad en capas.

Configura las listas de aceptación y rechazo

Para obtener información sobre cómo crear un nuevo adjunto de servicio con listas de aceptación o rechazo del consumidor, consulta Publicar un servicio con aprobación de proyecto explícita.

Para obtener información sobre cómo actualizar las listas de aceptación o rechazo del consumidor, consulta Administrar solicitudes de acceso a un servicio publicado.