Mengelola keamanan untuk produsen Private Service Connect

Halaman ini menjelaskan cara produsen layanan dalam menerapkan keamanan untuk organisasi produsen dan project yang menggunakan Private Service Connect.

Daftar penerimaan konsumen memungkinkan pemilik layanan menentukan jaringan atau project yang dapat terhubung ke setiap lampiran layanan. Kebijakan organisasi juga mengontrol akses ke lampiran layanan, tetapi mengizinkan administrator jaringan mengontrol akses ke semua lampiran layanan dalam organisasi secara luas.

Daftar penerimaan konsumen dan kebijakan organisasi bersifat saling melengkapi dan dapat digunakan bersama. Dalam hal ini, koneksi Private Service Connect hanya dibuat jika diizinkan oleh kedua mekanisme keamanan ini.

Peran

Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Kebijakan organisasi produsen

Anda dapat menggunakan kebijakan organisasi dengan batasan daftar compute.restrictPrivateServiceConnectConsumer untuk mengontrol endpoint dan backend yang dapat terhubung ke lampiran layanan Private Service Connect. Jika endpoint atau backend ditolak oleh kebijakan organisasi produsen, pembuatan resource akan berhasil, tetapi koneksi akan memasuki status ditolak.

Untuk mengetahui informasi selengkapnya, lihat Kebijakan organisasi sisi produsen.

Menolak koneksi dari endpoint dan backend yang tidak sah

gcloud

  1. Buat file sementara bernama /tmp/policy.yaml untuk menyimpan kebijakan baru. Tambahkan teks berikut ke file:

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    Ganti kode berikut:

    • PRODUCER_ORG: ID organisasi dari organisasi produsen yang ingin Anda kontrol akses Private Service Connect konsumennya.
    • CONSUMER_ORG_NUMBER: ID resource numerik organisasi konsumen yang ingin Anda izinkan untuk terhubung ke lampiran layanan di organisasi produsen.

    Untuk menentukan organisasi tambahan yang dapat terhubung ke lampiran layanan dalam project Anda, sertakan entri tambahan di bagian allowedValues.

    Selain organisasi, Anda dapat menentukan folder dan project yang diotorisasi dalam bentuk berikut:

    • under:folders/FOLDER_ID

      FOLDER_ID harus berupa ID numerik.

    • under:projects/PROJECT_ID

      PROJECT_ID harus berupa ID string.

    Misalnya, file berikut menunjukkan konfigurasi kebijakan organisasi yang menolak koneksi dari endpoint atau backend ke lampiran layanan di Producer-org-1 kecuali jika file tersebut terkait dengan nilai yang diizinkan atau turunan dari nilai yang diizinkan. Nilai yang diizinkan adalah organisasi Consumer-org-1, project Consumer-project-1, dan folder Consumer-folder-1.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. Terapkan kebijakan.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Lihat kebijakan yang berlaku.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Daftar penerimaan dan penolakan konsumen

Daftar penerimaan dan penolakan konsumen dikaitkan dengan lampiran layanan. Daftar ini memungkinkan Anda menerima atau menolak koneksi dari project atau jaringan konsumen secara eksplisit.

Untuk mengetahui informasi selengkapnya, lihat Daftar penerimaan dan penolakan konsumen.

Interaksi antara daftar penerimaan dan kebijakan organisasi

Daftar penerimaan konsumen dan kebijakan organisasi mengontrol apakah koneksi dapat dibuat antara dua resource Private Service Connect. Koneksi akan diblokir jika daftar penerimaan atau kebijakan organisasi menolak koneksi.

Misalnya, kebijakan dengan batasan restrictPrivateServiceConnectConsumer dapat dikonfigurasi untuk memblokir koneksi dari luar organisasi produsen. Meskipun lampiran layanan dikonfigurasi untuk menerima semua koneksi secara otomatis, kebijakan organisasi tetap akan memblokir koneksi dari luar organisasi produsen. Sebaiknya gunakan daftar penerimaan dan kebijakan organisasi secara bersamaan untuk membantu memberikan keamanan berlapis.

Mengonfigurasi daftar penerimaan dan penolakan

Untuk mengetahui informasi tentang cara membuat lampiran layanan baru yang berisi daftar penerimaan atau penolakan konsumen, lihat Memublikasikan layanan dengan persetujuan project eksplisit.

Untuk mengetahui informasi tentang cara memperbarui daftar penerimaan atau penolakan konsumen, lihat Mengelola permintaan akses ke layanan yang dipublikasikan.