Gerenciar a segurança dos produtores do Private Service Connect

Nesta página, descrevemos como os produtores de serviço podem implementar a segurança para organizações e projetos de produtores que usam o Private Service Connect.

Listas de aceitação do consumidor permitem que os proprietários de serviço especifiquem redes ou projetos que possam se conectar a anexos de serviço individuais. As políticas da organização também controlam o acesso aos anexos de serviços, mas permitem que os administradores de rede controlem amplamente o acesso a todos os anexos de serviços em uma organização.

As listas de aceitação do consumidor e as políticas da organização são complementares e podem ser usadas em conjunto. Nesse caso, uma conexão do Private Service Connect só será criada se for autorizada pelos dois mecanismos de segurança.

Papéis

Para receber as permissões necessárias a fim de gerenciar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Políticas da organização do produtor

É possível usar as políticas da organização com a restrição de lista compute.restrictPrivateServiceConnectConsumer para controlar quais endpoints e back-ends podem se conectar aos anexos do serviço Private Service Connect do Google Analytics. Se um endpoint ou back-end for rejeitado por uma política da organização do produtor, a criação do recurso será bem-sucedida, mas a conexão entrará no estado rejeitado.

Para mais informações, consulte Políticas da organização do produtor.

Rejeitar conexões de endpoints e back-ends não autorizados

Recursos: endpoints e back-ends

gcloud

  1. Crie um arquivo temporário chamado /tmp/policy.yaml para armazenar a nova política. Adicione o seguinte conteúdo ao arquivo:

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    Substitua:

    • PRODUCER_ORG: o ID da organização do produtor ao qual você quer controlar o acesso do Private Service Connect do consumidor.
    • CONSUMER_ORG_NUMBER: o ID numérico do recurso da organização do consumidor que você quer permitir que se conecte a anexos de serviço na organização do produtor.

    Para especificar outras organizações que podem se conectar a anexos de serviço no projeto, inclua mais entradas na seção allowedValues.

    Além das organizações, é possível especificar pastas e projetos autorizados no seguinte formato:

    • under:folders/FOLDER_ID

      O FOLDER_ID precisa ser o ID numérico.

    • under:projects/PROJECT_ID

      O PROJECT_ID precisa ser o ID da string.

    Por exemplo, o arquivo a seguir mostra uma configuração de política da organização que rejeita a conexão dos consumidores de endpoints ou back-ends a anexos de serviço em Producer-org-1, a menos que estejam associados a um valor permitido ou descendente de um. Os valores permitidos são a organização Consumer-org-1, o projeto Consumer-project-1 e a pasta Consumer-folder-1.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. Aplique a política.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Consulte a política em vigor.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Listas de aceitação e rejeição do consumidor

Recursos: endpoints e back-ends

As listas de aceitação e rejeição do consumidor estão associadas a anexos de serviço. Essas listas permitem aceitar ou negar explicitamente as conexões de projetos ou redes de consumidores.

Para mais informações, consulte Listas de aceitação e rejeição do consumidor.

Interação entre listas de aceitação e políticas da organização

As listas de aceitação do consumidor e as políticas da organização controlam se uma conexão pode ser estabelecida entre dois recursos do Private Service Connect. As conexões serão bloqueadas se uma lista de aceitação ou uma política da organização negar a conexão.

Por exemplo, uma política com a restrição restrictPrivateServiceConnectConsumer pode ser configurada para bloquear conexões de fora da organização do produtor. Mesmo que um anexo de serviço esteja configurado para aceitar automaticamente todas as conexões, a política da organização ainda bloqueará conexões de fora da organização do produtor. Recomendamos o uso de listas de aceitação e políticas de organização juntas para fornecer segurança em camadas.

Configurar listas de aceitação e rejeição

Para informações sobre como criar um novo anexo de serviço que tenha listas de aceitação ou rejeição de consumidores, consulte Publicar um serviço com aprovação explícita do projeto.

Para informações sobre como atualizar listas de aceitação ou rejeição de consumidores, consulte Gerenciar solicitações de acesso a um serviço publicado.