Mengelola keamanan untuk produsen Private Service Connect
Halaman ini menjelaskan cara produsen layanan dalam menerapkan keamanan untuk organisasi produsen dan project yang menggunakan Private Service Connect.
Daftar penerimaan konsumen memungkinkan pemilik layanan menentukan jaringan atau project yang dapat terhubung ke setiap lampiran layanan. Kebijakan organisasi juga mengontrol akses ke lampiran layanan, tetapi mengizinkan administrator jaringan mengontrol akses ke semua lampiran layanan dalam organisasi secara luas.
Daftar penerimaan konsumen dan kebijakan organisasi bersifat saling melengkapi dan dapat digunakan bersama. Dalam hal ini, koneksi Private Service Connect hanya dibuat jika diizinkan oleh kedua mekanisme keamanan ini.
Peran
Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi,
minta administrator untuk memberi Anda
peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin
) di organisasi.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Kebijakan organisasi produsen
Anda dapat menggunakan kebijakan organisasi dengan
batasan daftar
compute.restrictPrivateServiceConnectConsumer
untuk mengontrol endpoint dan backend yang dapat
terhubung ke lampiran layanan Private Service Connect. Jika endpoint atau backend ditolak oleh kebijakan organisasi produsen, pembuatan resource akan berhasil, tetapi koneksi akan memasuki status ditolak.
Untuk mengetahui informasi selengkapnya, lihat Kebijakan organisasi sisi produsen.
Menolak koneksi dari endpoint dan backend yang tidak sah
Resource: endpoint dan backend
gcloud
Buat file sementara bernama
/tmp/policy.yaml
untuk menyimpan kebijakan baru. Tambahkan teks berikut ke file:name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/CONSUMER_ORG_NUMBER
Ganti kode berikut:
PRODUCER_ORG
: ID organisasi dari organisasi produsen yang ingin Anda kontrol akses Private Service Connect konsumennya.CONSUMER_ORG_NUMBER
: ID resource numerik organisasi konsumen yang ingin Anda izinkan untuk terhubung ke lampiran layanan di organisasi produsen.
Untuk menentukan organisasi tambahan yang dapat terhubung ke lampiran layanan dalam project Anda, sertakan entri tambahan di bagian
allowedValues
.Selain organisasi, Anda dapat menentukan folder dan project yang diotorisasi dalam bentuk berikut:
under:folders/FOLDER_ID
FOLDER_ID
harus berupa ID numerik.under:projects/PROJECT_ID
PROJECT_ID
harus berupa ID string.
Misalnya, file berikut menunjukkan konfigurasi kebijakan organisasi yang menolak koneksi dari endpoint atau backend ke lampiran layanan di
Producer-org-1
, kecuali jika terkait dengan nilai yang diizinkan atau turunan dari nilai yang diizinkan. Nilai yang diizinkan adalah organisasiConsumer-org-1
, projectConsumer-project-1
, dan folderConsumer-folder-1
.name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/Consumer-org-1 - under:projects/Consumer-project-1 - under:folders/Consumer-folder-1
Terapkan kebijakan.
gcloud org-policies set-policy /tmp/policy.yaml
Lihat kebijakan yang berlaku.
gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \ --effective \ --organization=PRODUCER_ORG
Daftar penerimaan dan penolakan konsumen
Resource: endpoint dan backend
Daftar penerimaan dan penolakan konsumen dikaitkan dengan lampiran layanan. Daftar ini memungkinkan Anda menerima atau menolak koneksi dari project atau jaringan konsumen secara eksplisit.
Untuk mengetahui informasi selengkapnya, lihat Daftar penerimaan dan penolakan konsumen.
Interaksi antara daftar penerimaan dan kebijakan organisasi
Daftar penerimaan konsumen dan kebijakan organisasi mengontrol apakah koneksi dapat dibuat antara dua resource Private Service Connect. Koneksi akan diblokir jika daftar penerimaan atau kebijakan organisasi menolak koneksi.
Misalnya, kebijakan dengan batasan restrictPrivateServiceConnectConsumer
dapat
dikonfigurasi untuk memblokir koneksi dari luar organisasi produsen. Meskipun
lampiran layanan dikonfigurasi untuk menerima semua koneksi secara otomatis, kebijakan organisasi
tetap akan memblokir koneksi dari luar organisasi produsen. Sebaiknya gunakan daftar penerimaan dan kebijakan organisasi secara bersamaan untuk membantu memberikan keamanan berlapis.
Mengonfigurasi daftar penerimaan dan penolakan
Untuk mengetahui informasi tentang cara membuat lampiran layanan baru yang berisi daftar penerimaan atau penolakan konsumen, lihat Memublikasikan layanan dengan persetujuan project eksplisit.
Untuk mengetahui informasi tentang cara memperbarui daftar penerimaan atau penolakan konsumen, lihat Mengelola permintaan akses ke layanan yang dipublikasikan.