Questa pagina è stata tradotta dall'API Cloud Translation.

Sicurezza di Private Service Connect

Questa pagina fornisce una panoramica della sicurezza di Private Service Connect.

Private Service Connect offre diversi controlli per la gestione dell'accesso alle risorse Private Service Connect. Puoi controllare chi può eseguire il deployment delle risorse Private Service Connect, se è possibile stabilire connessioni tra consumer e producer e quale traffico di rete è autorizzato ad accedere a queste connessioni.

Questi controlli vengono implementati utilizzando i seguenti elementi:

Le autorizzazioni IAM (Identity and Access Management) determinano a quali entità IAM è consentito eseguire il deployment delle risorse Private Service Connect, come endpoint, backend e servizi. Un'entità IAM è un Account Google, un account di servizio, un gruppo Google, un account Google Workspace o un dominio Cloud Identity che può accedere a una risorsa.
Gli elenchi di accettazione e rifiuto di Private Service Connect e i criteri dell'organizzazione determinano se è possibile stabilire connessioni di Private Service Connect tra singoli consumer e producer.
Le regole firewall VPC determinano se un determinato traffico TCP o UDP è autorizzato ad accedere alle connessioni Private Service Connect.

La Figura 1 descrive in che modo questi controlli interagiscono sul lato consumer e producer di una connessione Private Service Connect.

**Figura 1.** Le autorizzazioni IAM, i criteri dell'organizzazione, gli elenchi di accettazione e di rifiuto e le regole firewall VPC interagiscono per proteggere i lati consumer e producer di una connessione Private Service Connect.

IAM

Risorse: tutte

Ogni risorsa Private Service Connect è regolata da una o più autorizzazioni IAM. Queste autorizzazioni consentono agli amministratori di applicare le entità IAM che possono eseguire il deployment delle risorse Private Service Connect.

IAM non stabilisce quali entità IAM possono connettersi o utilizzare una connessione Private Service Connect. Per controllare quali endpoint o backend possono stabilire una connessione con un servizio, utilizza i criteri dell'organizzazione o gli elenchi di accettazione dei consumatori. Per controllare quali client possono inviare traffico alle risorse Private Service Connect, utilizza i firewall o i criteri firewall VPC.

Per ulteriori informazioni sulle autorizzazioni IAM, consulta Autorizzazioni IAM.

Per informazioni sulle autorizzazioni necessarie per creare un enpdoint, consulta Creazione di un endpoint.

Per informazioni sulle autorizzazioni necessarie per creare un collegamento a un servizio, vedi Pubblicare un servizio con approvazione esplicita.

Stati della connessione

Risorse: endpoint, backend e collegamenti ai servizi

Gli endpoint, i backend e i collegamenti ai servizi di Private Service Connect hanno uno stato della connessione che descrive lo stato della relativa connessione. Le risorse consumer e producer che formano i due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizza i dettagli dell'endpoint, descrivi un backend o visualizzi i dettagli per un servizio pubblicato.

La tabella seguente descrive i possibili stati.

Stato della connessione	Descrizione
Accettato	La connessione Private Service Connect è stata stabilita. Le due reti VPC sono dotate di connettività e la connessione funziona normalmente.
In attesa	La connessione Private Service Connect non è stabilita e il traffico di rete non può viaggiare tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: Il collegamento al servizio richiede un'approvazione esplicita e il consumer non è nell'elenco di accettazione del consumer. Il numero di connessioni supera il limite di connessioni del collegamento al servizio. Le connessioni bloccate per questi motivi rimangono nello stato In attesa a tempo indeterminato fino alla risoluzione del problema sottostante.
Rifiutata	La connessione Private Service Connect non è stabilita. Il traffico di rete non può viaggiare tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: Un criterio dell'organizzazione del producer ha rifiutato la connessione. Un elenco dei consumatori rifiutati ha rifiutato la connessione.
Richiede attenzione	Si è verificato un problema relativo alla connessione sul lato producer. Una parte del traffico potrebbe essere in grado di passare tra le due reti, ma alcune connessioni potrebbero non funzionare. Ad esempio, la subnet NAT del producer potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni.
Chiuso	Il collegamento al servizio è stato eliminato e la connessione Private Service Connect è chiusa. Il traffico di rete non può viaggiare tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare sia il collegamento al servizio sia l'endpoint o il backend.

Configurazione del collegamento al servizio

Puoi controllare quali consumer possono connettersi al collegamento a un servizio utilizzando le seguenti funzionalità.

Preferenza di connessione

Risorse: endpoint e backend

Ogni collegamento al servizio ha una preferenza di connessione che specifica se le richieste di connessione vengono accettate automaticamente. Le opzioni sono tre:

Accetta automaticamente tutte le connessioni. Il collegamento al servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer. L'accettazione automatica può essere sostituita da un criterio dell'organizzazione che blocca le connessioni in entrata.
Accetta le connessioni per le reti selezionate. Il collegamento al servizio accetta le richieste di connessione in entrata solo se la rete VPC del consumer si trova nell'elenco di accettazione dei consumer del collegamento al servizio.
Accetta le connessioni per i progetti selezionati. Il collegamento al servizio accetta le richieste di connessione in entrata solo se il progetto consumer si trova nell'elenco di accettate del consumer del collegamento al servizio.

Ti consigliamo di accettare le connessioni per le reti o i progetti selezionati. L'accettazione automatica di tutte le connessioni potrebbe essere appropriata se controlli l'accesso dei consumatori con altri mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.

Accetta e rifiuta elenchi

Risorse: endpoint e backend

Gli elenchi accettati per i consumatori e gli elenchi di rifiuto dei consumatori sono una funzionalità di sicurezza degli allegati dei servizi. Gli elenchi di accettazione e rifiuto consentono ai producer di servizi di specificare quali consumer possono stabilire connessioni Private Service Connect ai propri servizi. Gli elenchi di accettazione dei consumatori specificano se la connessione è accettata, mentre gli elenchi dei consumatori rifiutati specificano se la connessione viene rifiutata. Entrambi gli elenchi consentono di specificare i consumer in base alla rete VPC o al progetto della risorsa che si connette. Se aggiungi un progetto o una rete sia all'elenco di utenti consentiti sia a quello negato, le richieste di connessione provenienti dal progetto o dalla rete vengono rifiutate. La specifica dei consumer per cartella non è supportata.

Gli elenchi di accettazione dei consumatori e quelli di rifiuto dei consumatori consentono di specificare progetti o reti VPC, ma non entrambi contemporaneamente. Puoi modificare un elenco da un tipo all'altro senza interrompere le connessioni, ma devi apportare la modifica in un singolo aggiornamento. Altrimenti, alcune connessioni potrebbero passare temporaneamente allo stato In attesa.

Quando aggiorni un elenco di accettazione o rifiuto di un consumer, l'effetto sulle connessioni esistenti varia a seconda che la riconciliazione delle connessioni sia abilitata o meno. Per saperne di più, consulta Riconciliazione delle connessioni.

Per informazioni su come creare un nuovo collegamento a un servizio con elenchi di accettazione o rifiuto dei consumer, consulta Pubblicare un servizio con l'approvazione esplicita del progetto.

Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto dei consumatori, consulta Gestire le richieste di accesso a un servizio pubblicato.

Limiti di connessione

Risorse: endpoint e backend

Gli elenchi di accettazione consumatori hanno limiti di connessioni. Questi limiti impostano il numero totale di connessioni che un collegamento a un servizio può accettare dal progetto consumer o dalla rete VPC specificati. I producer possono utilizzare questi limiti per impedire ai singoli consumer di esaurire gli indirizzi IP o le quote delle risorse nella rete VPC del producer. Ogni connessione Private Service Connect accettata viene sottratta dal limite configurato per un progetto consumer o una rete VPC. I limiti vengono impostati quando crei o aggiorna gli elenchi accettati per i consumatori. Puoi visualizzare le connessioni del collegamento a un servizio quando describe il collegamento a un servizio.

Ad esempio, considera un caso in cui il collegamento a un servizio ha un elenco di accettazione dei consumer che include project-1 e project-2, entrambi con un limite di una connessione. Il progetto project-1 richiede due connessioni, project-2 richiede una connessione e project-3 richiede una connessione. Poiché project-1 ha un limite di una connessione, la prima viene accettata, mentre la seconda rimane in attesa. La connessione da project-2 è accettata, mentre la connessione da project-3 rimane in attesa. La seconda connessione da project-1 può essere accettata aumentando il limite di project-1. Se project-3 viene aggiunto all'elenco di accettazione dei consumer, la connessione passa da in attesa ad accettata.

Criteri dell'organizzazione

I criteri dell'organizzazione consentono di controllare ampiamente quali progetti possono connettersi a reti o organizzazioni VPC utilizzando Private Service Connect.

I criteri dell'organizzazione descritti in questa pagina possono bloccare o rifiutare nuove connessioni Private Service Connect, ma non influiscono sulle connessioni esistenti.

Un criterio dell'organizzazione si applica ai discendenti della risorsa a cui fa riferimento in base alla valutazione della gerarchia. Ad esempio, un criterio dell'organizzazione che limita l'accesso a un'organizzazione Google Cloud si applica anche alle cartelle figlio, ai progetti e alle risorse dell'organizzazione. Analogamente, l'inclusione di un'organizzazione come valore consentito consente anche l'accesso alle organizzazioni secondarie.

Per ulteriori informazioni sui criteri dell'organizzazione, vedi Criteri dell'organizzazione.

Criteri dell'organizzazione lato consumatore

Puoi utilizzare i limiti dell'elenco per controllare il deployment di endpoint e backend. Se un endpoint o un backend è bloccato da un criterio dell'organizzazione consumer, la creazione della risorsa non riesce.

Utilizza il vincolo dell'elenco restrictPrivateServiceConnectProducer per controllare a quali collegamenti dei servizi possono connettersi endpoint e backend in base all'organizzazione producer.
Utilizza il vincolo dell'elenco disablePrivateServiceConnectCreationForConsumers per controllare il deployment degli endpoint in base al tipo di connessione dell'endpoint. Puoi bloccare il deployment degli endpoint che si connettono alle API di Google oppure bloccare il deployment degli endpoint che si connettono ai servizi pubblicati.

Impedisci agli endpoint o ai backend di connettersi alle organizzazioni producer

Risorse: endpoint e backend

I criteri dell'organizzazione che utilizzano il vincolo dell'elenco restrictPrivateServiceConnectProducer con valori consentiti impediscono agli endpoint e ai backend di connettersi ai collegamenti ai servizi, a meno che questi non siano associati a uno dei valori consentiti del criterio. Un criterio di questo tipo blocca le connessioni anche se sono consentite dall'elenco di accettazione del consumer del collegamento al servizio.

Ad esempio, il seguente criterio dell'organizzazione si applica a un'organizzazione denominata Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    – values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER
        - under:organizations/433637338589

La Figura 2 mostra il risultato di questo criterio dell'organizzazione. Il criterio ha valori consentiti per Org-A (ORG_A_NUMBER) e Google-org (433637338589). Gli endpoint e i backend creati in Org-A possono comunicare con i collegamenti ai servizi in Org-A, ma non con i collegamenti ai servizi in Org-B.

**Figura 2.** Un criterio dell'organizzazione consente all'endpoint `psc-1` di connettersi al collegamento al servizio `sa-1` e di impedire a `psc-3` di connettersi ai collegamenti al servizio in `Org-B`. Gli endpoint e i backend in `Org-A` possono connettersi ai collegamenti ai servizi di proprietà di Google.

Puoi consentire alle istanze dei seguenti tipi di risorse di creare endpoint con il vincolo compute.restrictPrivateServiceConnectProducer:

Organizzazioni
Cartelle
Progetti

Per informazioni su come creare un criterio dell'organizzazione che utilizza il vincolo compute.restrictPrivateServiceConnectProducer, consulta Impedire a endpoint e backend di connettersi a collegamenti ai servizi non autorizzati.

Blocca la creazione di endpoint in base al tipo di connessione

Risorse interessate: endpoint

Puoi utilizzare il vincolo dell'elenco disablePrivateServiceConnectCreationForConsumers per bloccare la creazione di endpoint a seconda che si connettano alle API di Google o a servizi pubblicati (collegamenti ai servizi).

Per informazioni su come creare un criterio dell'organizzazione che utilizza il vincolo disablePrivateServiceConnectCreationForConsumers, consulta Impedisci ai consumatori di eseguire il deployment degli endpoint per tipo di connessione.

Criteri dell'organizzazione lato producer

Risorse interessate: endpoint e backend

Puoi utilizzare i criteri dell'organizzazione con il compute.restrictPrivateServiceConnectConsumer vincolo dell'elenco per controllare quali endpoint e backend possono connettersi ai collegamenti del servizio Private Service Connect all'interno di un'organizzazione o di un progetto producer. Se un endpoint o un backend viene rifiutato da un criterio dell'organizzazione del producer, la creazione della risorsa va a buon fine, ma la connessione entra nello stato rifiutato.

Il controllo dell'accesso in questo modo è simile all'utilizzo di elenchi di accettazione e rifiuto, con l'eccezione che i criteri dell'organizzazione si applicano a tutti i collegamenti ai servizi di un progetto o di un'organizzazione anziché a un singolo collegamento a un servizio.

Puoi utilizzare i criteri dell'organizzazione e gli elenchi di accettazione contemporaneamente, con i criteri dell'organizzazione che applicano in modo ampio l'accesso a un servizio gestito e gli elenchi di accettazione che controllano l'accesso ai singoli collegamenti dei servizi.

I criteri dell'organizzazione che utilizzano il vincolo compute.restrictPrivateServiceConnectConsumer rifiutano le connessioni da endpoint e backend, a meno che l'endpoint o il backend non siano associati a uno dei valori consentiti del criterio. Un criterio di questo tipo rifiuta le connessioni anche se sono consentite da una lista consentita.

Ad esempio, il seguente criterio dell'organizzazione si applica a un'organizzazione denominata Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER

La Figura 3 mostra il risultato di questo criterio dell'organizzazione. Il criterio ha un valore consentito per Org-A (ORG_A_NUMBER). Gli endpoint in altre reti VPC in Org-A possono connettersi ai collegamenti ai servizi in Org-A. Gli endpoint in Org-B che tentano di connettersi vengono rifiutati.

**Figura 3.** Un criterio dell'organizzazione consente a `psc-1` di connettersi a `sa-1`, mentre impedisce a `psc-2` di connettersi.

Puoi consentire alle istanze dei seguenti tipi di risorse di creare endpoint con il vincolo restrictPrivateServiceConnectConsumer:

Organizzazioni
Cartelle
Progetti

Per ulteriori informazioni sull'utilizzo dei criteri dell'organizzazione con i producer di servizi, consulta Criteri dell'organizzazione di producer.

Interazione tra gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione

Sia gli elenchi di accettazione dei consumer che i criteri dell'organizzazione controllano se è possibile stabilire una connessione tra due risorse Private Service Connect. Le connessioni vengono bloccate se un elenco di accettazione o un criterio dell'organizzazione nega la connessione.

Ad esempio, è possibile configurare un criterio con il vincolo restrictPrivateServiceConnectConsumer per bloccare le connessioni dall'esterno dell'organizzazione del producer. Anche se il collegamento di un servizio è configurato per accettare automaticamente tutte le connessioni, il criterio dell'organizzazione blocca comunque le connessioni esterne all'organizzazione del producer. Ti consigliamo di utilizzare insieme gli elenchi di accettazione e i criteri dell'organizzazione per fornire una sicurezza a più livelli.

Firewall

Risorse: tutte

Puoi utilizzare le regole firewall e i criteri firewall VPC per controllare l'accesso a livello di rete alle risorse Private Service Connect.

Per ulteriori informazioni sulle regole firewall VPC in generale, consulta Regole firewall VPC.

Per saperne di più sull'utilizzo delle regole firewall VPC per limitare l'accesso a endpoint o backend in una rete VPC consumer, consulta Utilizzare le regole firewall per limitare l'accesso a endpoint o backend.