Administrar la seguridad de los productores de Private Service Connect
En esta página, se describe cómo los productores de servicios pueden implementar la seguridad para las organizaciones y los proyectos de productores que usan Private Service Connect.
Las listas de aceptación del consumidor permiten que los propietarios del servicio especifiquen redes o proyectos que pueden conectarse a adjuntos de servicio individuales. Las políticas de la organización también controlan el acceso a los adjuntos de servicio, pero permiten que los administradores de red controlen de forma amplia el acceso a todos los adjuntos de servicio en una organización.
Las listas de aceptación del consumidor y las políticas de la organización son complementarias y se pueden usar juntas. En este caso, una conexión de Private Service Connect solo se crea si está autorizado por ambos mecanismos de seguridad.
Funciones
Para obtener los permisos que necesitas a fin de administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin
) en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Políticas de la organización del productor
Puedes usar las políticas de la organización con la restricción de lista compute.restrictPrivateServiceConnectConsumer
para controlar qué extremos y backends pueden conectarse a los adjuntos del servicio de Private Service Connect. Si una política de la organización del productor rechaza un extremo o un backend, la creación del recurso se realiza de forma correcta pero la conexión entra en el estado de rechazado.
Para obtener más información, consulta Políticas de la organización del lado del productor.
Rechazar conexiones de extremos y backends no autorizados
Recursos: extremos y backends
gcloud
Crea un archivo temporal llamado
/tmp/policy.yaml
para almacenar la nueva política. Agrega el siguiente contenido al archivo:name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/CONSUMER_ORG_NUMBER
Reemplaza lo siguiente:
PRODUCER_ORG
: Es el ID de organización de la organización del productor a la que deseas controlar el acceso del consumidor de Private Service Connect.CONSUMER_ORG_NUMBER
: Es el ID de recurso numérico de la organización del consumidor que deseas que se conecte a los adjuntos de servicio en la organización del productor.
Para especificar las organizaciones adicionales que pueden conectarse a los adjuntos de servicio en tu proyecto, incluye entradas adicionales en la sección
allowedValues
.Además de las organizaciones, puedes especificar las carpetas y los proyectos autorizados de la siguiente manera:
under:folders/FOLDER_ID
El
FOLDER_ID
debe ser el ID numérico.under:projects/PROJECT_ID
El
PROJECT_ID
debe ser el ID de la cadena.
Por ejemplo, en el siguiente archivo se muestra una configuración de política de la organización que impide que los consumidores conecten extremos o backends a adjuntos de servicio en
Producer-org-1
a menos que estén asociados con un valor permitido o un subordinado de un valor permitido. Los valores permitidos son la organizaciónConsumer-org-1
, el proyectoConsumer-project-1
y de carpetaConsumer-folder-1
.name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/Consumer-org-1 - under:projects/Consumer-project-1 - under:folders/Consumer-folder-1
Aplicar la política.
gcloud org-policies set-policy /tmp/policy.yaml
Consultar la política vigente.
gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \ --effective \ --organization=PRODUCER_ORG
Listas de aceptación y rechazo del consumidor
Recursos: extremos y backends
Las listas de aceptación y rechazo del consumidor están asociadas con los adjuntos de servicio. Estas listas te permiten aceptar o rechazar de forma explícita las conexiones de redes o proyectos del consumidor.
Para obtener más información, consulta Listas de aceptación y rechazo del consumidor.
Interacción entre las listas de aceptación y las políticas de la organización
Tanto las listas de aceptación del consumidor como las políticas de la organización controlan si se puede establecer una conexión entre dos recursos de Private Service Connect. Las conexiones se bloquean si una lista de aceptación o una política de la organización rechaza la conexión.
Por ejemplo, una política con la restricción restrictPrivateServiceConnectConsumer
se puede configurar para bloquear las conexiones desde fuera de la organización del productor. Incluso si un adjunto de servicio está configurado para aceptar todas las conexiones de forma automática, la política de la organización aún bloquea las conexiones desde fuera de la organización del productor. Recomendamos usar las listas de aceptación y las políticas de la organización en conjunto para ayudar a proporcionar seguridad en capas.
Configura las listas de aceptación y rechazo
Para obtener información sobre cómo crear un nuevo adjunto de servicio con listas de aceptación o rechazo del consumidor, consulta Publicar un servicio con aprobación de proyecto explícita.
Para obtener información sobre cómo actualizar las listas de aceptación o rechazo del consumidor, consulta Administrar solicitudes de acceso a un servicio publicado.