Private Service Connect 安全性
本頁提供 Private Service Connect 安全性總覽。
Private Service Connect 提供多種控制項,可管理 Private Service Connect 資源的存取權。您可以控管哪些人能部署 Private Service Connect 資源、消費者和生產者之間是否能建立連線,以及允許哪些網路流量存取這些連線。
這些控制項是透過下列元素實作:
- 身分與存取權管理 (IAM) 權限可決定哪些 IAM 主體可部署 Private Service Connect 資源,例如端點、後端和服務。IAM 主體是可存取資源的 Google 帳戶、服務帳戶、Google 群組、Google Workspace 帳戶或 Cloud Identity 網域。
- Private Service Connect 接受和拒絕清單和機構政策會決定個別消費者和生產者之間是否可以建立 Private Service Connect 連線。
- 虛擬私有雲防火牆規則會決定是否允許特定 TCP 或 UDP 流量存取 Private Service Connect 連線。
圖 1 說明這些控制項在 Private Service Connect 連線的消費者和生產者端如何互動。
圖 1. IAM 權限、組織政策、接受和拒絕清單,以及 VPC 防火牆規則會共同運作,協助保護 Private Service Connect 連線的消費者和供應商端 (按一下即可放大)。
IAM
資源:全部
每個 Private Service Connect 資源都受一或多個 IAM 權限控管。管理員可透過這些權限,強制規定哪些 IAM 主體可以部署 Private Service Connect 資源。
IAM 不會控管哪些 IAM 主體可以連線至或使用 Private Service Connect 連線。如要控管哪些端點或後端可與服務建立連線,請使用機構政策或消費者接受清單。如要控管哪些用戶端可以將流量傳送至 Private Service Connect 資源,請使用 VPC 防火牆或防火牆政策。
如要進一步瞭解 IAM 權限,請參閱「IAM 權限」。
如要瞭解建立端點所需的權限,請參閱「建立端點」。
如要瞭解建立服務附件所需的權限,請參閱「發布具有明確核准功能的服務」。
連線狀態
資源:端點、後端和服務連結
Private Service Connect 端點、後端和服務連結的連線狀態會說明連線狀態。 構成連線兩端的用戶和供應商資源一律會有相同的狀態。 您可以查看端點詳細資料、 說明後端,或 查看已發布服務的詳細資料,藉此查看連線狀態。
下表說明可能的狀態。
| 連線狀態 | 說明 |
|---|---|
| 已接受 | 已建立 Private Service Connect 連線。兩個虛擬私有雲網路已連線,且連線功能正常運作。 |
| 待處理 | 未建立 Private Service Connect 連線,網路流量無法在兩個網路之間傳輸。連線可能因為下列原因而處於這種狀態: 如果連線因上述原因遭到封鎖,就會無限期處於待處理狀態,直到解決根本問題為止。 |
| 已遭拒 | 未建立 Private Service Connect 連線。網路流量無法在兩個網路之間傳輸。連線可能因為下列原因而處於這種狀態: |
| 需要處理 | 連線的供應商端發生問題。部分流量或許可以在兩個網路之間傳送,不過某些連線可能無法正常運作。舉例來說,供應商的 NAT 子網路可能已用盡,無法為新的連線分配 IP 位址。 |
| 不開放 | 服務連結遭到刪除,Private Service Connect 連線已關閉。網路流量無法在兩個網路之間傳輸。 連線關閉是終端狀態,如要恢復連線,必須重新建立服務連結和端點或後端。 |
服務連結設定
您可以使用下列功能,控管哪些消費者可以連線至服務附件。
連線偏好設定
資源:端點和後端
每個服務連結都有連線偏好設定,可指定是否自動接受連線要求。可能的做法有以下三種:
- 自動接受所有連線。服務附件會自動接受來自任何消費者的所有連入連線要求。如果機構政策禁止連入連線,系統就會覆寫自動接受設定。
- 接受所選網路的連線。只有在服務連結的消費者接受清單中列出消費者虛擬私有雲網路時,服務連結才會接受連入連線要求。
- 接受所選專案的連線。只有在服務連結的消費者接受清單中列出消費者專案時,服務連結才會接受連入連線要求。
建議您接受所選專案或網路的連線。如果您透過其他方式控管消費者存取權,並想啟用服務的寬鬆存取權,或許可以自動接受所有連線。
接受和拒絕清單
資源:端點和後端
「消費者接受清單」和「消費者拒絕清單」是服務附件的安全功能。服務供應商可透過接受和拒絕清單,指定哪些消費者可以建立 Private Service Connect 連線,連至他們的服務。消費者接受清單會指定是否接受連線,消費者拒絕清單則會指定是否拒絕連線。這兩份清單都可讓您依據連線資源的虛擬私有雲網路或專案指定消費者。如果將專案或網路同時新增至接受清單和拒絕清單,系統會拒絕來自該專案或網路的連線要求。系統不支援依資料夾指定消費者。
您可以使用消費者接受清單和消費者拒絕清單指定專案或虛擬私有雲網路,但不能同時指定兩者。您可以將清單從一種類型變更為另一種,而不會中斷連線,但必須在單一更新中進行變更。否則,部分連線可能會暫時變更為待處理狀態。
消費者清單可控管端點是否能連線至已發布的服務,但無法控管誰能將要求傳送至該端點。舉例來說,假設消費者有共用虛擬私有雲網路,並附加了兩個服務專案。如果已發布的服務在消費者接受清單中包含 service-project1,且在消費者拒絕清單中包含 service-project2,則適用下列情況:
-
service-project1中的消費者可以建立端點,連線至已發布的服務。 -
service-project2中的消費者無法建立連線至已發布服務的端點。 -
如果沒有防火牆規則或政策禁止該流量,
service-project2中的用戶端可以將要求傳送至service-project1中的端點。
更新消費者接受或拒絕清單後,對現有連線的影響取決於是否啟用連線協調功能。詳情請參閱「連線對帳」。
如要瞭解如何建立含有消費者接受或拒絕清單的新服務附件,請參閱「發布需要明確專案核准的服務」。
如要瞭解如何更新消費者接受或拒絕清單,請參閱「管理已發布服務的存取要求」。
連線限制
資源:端點和後端
消費者接受清單有連線限制。這些限制會設定服務連結可從指定用戶專案或 VPC 網路接受的 Private Service Connect 端點和後端連線總數。
生產者可以設定連線限制,避免個別消費者耗盡生產者虛擬私有雲網路中的 IP 位址或資源配額。每接受一個 Private Service Connect 連線,就會從消費者專案或虛擬私有雲網路的設定限制中扣除。您在建立或更新消費者接受名單時,系統會設定限制。您可以說明服務附件時,查看服務附件的連線。
傳播連線不會計入這些限制。
舉例來說,假設服務附件的消費者接受清單包含 project-1 和 project-2,兩者連線數上限皆為一。專案 project-1 要求兩個連線,project-2 要求一個連線,project-3 則要求一個連線。由於「project-1」只能建立一個連線,因此系統會接受第一個連線,第二個連線則會維持待處理狀態。已接受 project-2 的連線,但 project-3 的連線仍待處理。如要接受來自 project-1 的第二個連線,請提高 project-1 的上限。如果將 project-3 新增至消費者接受清單,該連線就會從待處理狀態轉為已接受狀態。
機構政策
機構政策可讓您廣泛控管哪些專案能使用 Private Service Connect 連線至虛擬私有雲網路或機構。
本頁面所述的組織政策可以封鎖或拒絕新的 Private Service Connect 連線,但不會影響現有連線。
機構政策會根據階層評估,套用至所參照資源的子系。舉例來說,如果機構政策限制存取 Google Cloud 機構,這項政策也會套用至機構的子資料夾、專案和資源。同樣地,將機構列為允許值,也會允許存取該機構的子項。
如要進一步瞭解機構政策,請參閱「機構政策」。
消費者端機構政策
您可以透過清單限制,控管端點和後端的部署作業。如果端點或後端遭消費者組織政策封鎖,資源建立作業就會失敗。
- 使用
restrictPrivateServiceConnectProducer清單限制,根據生產者機構控管可連線的服務連結端點和後端。 - 使用
disablePrivateServiceConnectCreationForConsumers清單限制,根據端點的連線類型控管端點部署作業。您可以封鎖連線至 Google API 的端點部署作業,也可以封鎖連線至已發布服務的端點部署作業。
禁止端點或後端連線至供應商機構
資源:端點和後端
如果機構政策使用允許值清單限制,端點和後端就無法連線至服務附件,除非服務附件與政策的其中一個允許值相關聯。restrictPrivateServiceConnectProducer即使服務附件的消費者接受清單允許連線,這類政策也會封鎖連線。
舉例來說,下列機構政策適用於名為 Org-A 的機構:
name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
rules:
– values:
allowedValues:
- under:organizations/ORG_A_NUMBER
- under:organizations/433637338589
圖 2 顯示這項機構政策的結果。這項政策允許 Org-A (ORG_A_NUMBER) 和 Google-org (433637338589) 的值。在 Org-A 中建立的端點和後端可以與 Org-A 中的服務附件通訊,但無法與 Org-B 中的服務附件通訊。
圖 2:機構政策可讓端點 psc-1 連接至服務連結 sa-1,並禁止 psc-3 連接至 Org-B 中的服務連結。Org-A 中的端點和後端可連線至 Google 擁有的服務連結 (按一下即可放大)。
您可以允許下列類型的資源執行個體,使用 compute.restrictPrivateServiceConnectProducer 限制條件建立端點:
- 組織
- 資料夾
- 專案
如要瞭解如何建立使用 compute.restrictPrivateServiceConnectProducer 限制的機構政策,請參閱「禁止端點和後端連線至未經授權的服務附件」。
依連線類型封鎖端點建立作業
受影響的資源:端點
您可以根據端點是否連線至 Google API 或已發布的服務 (服務附件),使用 disablePrivateServiceConnectCreationForConsumers 清單限制來禁止建立端點。
如要瞭解如何建立使用 disablePrivateServiceConnectCreationForConsumers 限制的機構政策,請參閱「依連線類型禁止消費者部署端點」。
製作人端機構政策
受影響的資源:端點和後端
您可以使用組織政策和compute.restrictPrivateServiceConnectConsumer
清單限制,控管哪些端點和後端可以連線至生產者機構或專案中的 Private Service Connect 附加服務。如果端點或後端遭供應商機構政策拒絕,資源建立作業會成功,但連線會進入遭拒狀態。
這種存取權控管方式與使用接受和拒絕清單類似,但機構政策適用於專案或機構中的所有服務附件,而非個別服務附件。
您可以同時使用機構政策和接受清單,機構政策會廣泛強制執行受管理服務的存取權,接受清單則會控管個別服務附件的存取權。
如果機構政策使用 compute.restrictPrivateServiceConnectConsumer 限制,除非端點或後端與政策允許的值相關聯,否則會拒絕端點和後端的連線。即使連線已加入許可清單,這類政策仍會拒絕連線。
舉例來說,下列機構政策適用於名為 Org-A 的機構:
name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
- values:
allowedValues:
- under:organizations/ORG_A_NUMBER
圖 3 顯示這項機構政策的結果。政策中 Org-A (ORG_A_NUMBER) 的值為允許。Org-A 中其他虛擬私有雲網路的端點可以連線至 Org-A 中的服務附件。嘗試連線的端點會遭到拒絕。Org-B
圖 3:機構政策允許 psc-1 連線至 sa-1,但禁止 psc-2 連線 (按一下可放大)。
機構政策會根據階層評估,套用至所參照資源的子系。舉例來說,如果機構政策限制存取 Google Cloud 機構,這項政策也會套用至機構的子資料夾、專案和資源。同樣地,將機構列為允許值,也會允許存取該機構的子項。
您可以允許下列類型的資源執行個體,使用 restrictPrivateServiceConnectConsumer 限制條件建立端點:
- 組織
- 資料夾
- 專案
如要進一步瞭解如何搭配使用機構政策與服務生產者,請參閱「生產者機構政策」。
消費者接受清單與機構政策之間的互動
消費者接受清單和機構政策都會控管兩個 Private Service Connect 資源之間是否可以建立連線。如果接受清單或機構政策拒絕連線,系統就會封鎖連線。
舉例來說,您可以設定具有 restrictPrivateServiceConnectConsumer 限制的政策,禁止連線來自供應商機構外部。即使服務附件設定為自動接受所有連線,機構政策仍會封鎖來自生產者機構外部的連線。建議您同時使用接受清單和機構政策,提供多層式安全防護。
防火牆
資源:全部
您可以使用 VPC 防火牆規則和防火牆政策,控管對 Private Service Connect 資源的網路層級存取權。
如要進一步瞭解虛擬私有雲防火牆規則,請參閱虛擬私有雲防火牆規則。
如要進一步瞭解如何使用虛擬私有雲防火牆規則,限制對消費者虛擬私有雲網路中端點或後端的存取權,請參閱「使用防火牆規則限制對端點或後端的存取權」。