Questa pagina è stata tradotta dall'API Cloud Translation.

Sicurezza di Private Service Connect

Questa pagina fornisce una panoramica della sicurezza di Private Service Connect.

Private Service Connect fornisce diversi controlli per la gestione dell'accesso alle risorse Private Service Connect. Puoi controllare chi può eseguire il deployment alle risorse Private Service Connect, se le connessioni possono stabiliti tra consumatori e produttori e il traffico di rete può accedere a queste connessioni.

Questi controlli vengono implementati utilizzando i seguenti elementi:

Le autorizzazioni IAM (Identity and Access Management) determinano quali È consentito eseguire il deployment delle entità IAM Risorse Private Service Connect come endpoint, backend, e servizi. Un'entità IAM è un modello account, account di servizio, gruppo Google, account Google Workspace oppure dominio Cloud Identity che può accedere a una risorsa.
Elenchi di accettazione e rifiuto di Private Service Connect e criteri dell'organizzazione determinare se le connessioni Private Service Connect stabiliti tra singoli consumatori e produttori.
Regole firewall VPC se un determinato traffico TCP o UDP può accedere Connessioni Private Service Connect.

La figura 1 descrive come questi controlli interagiscono con il consumatore e il produttore dai lati di una connessione Private Service Connect.

**Figura 1.** Autorizzazioni IAM, criteri dell'organizzazione, accettazione e rifiuto e le regole firewall VPC contribuiscono a proteggere i lati consumer e producer di una connessione Private Service Connect.

IAM

Risorse: tutte

Ogni risorsa Private Service Connect è regolata da una o più Autorizzazioni IAM. Queste autorizzazioni consentono agli amministratori di applicare quali entità IAM possono eseguire il deployment di Private Service Connect Google Cloud.

IAM non stabilisce quali entità IAM possono connettersi a una connessione Private Service Connect o utilizzarla. Per controllare quali endpoint o backend possono stabilire una connessione con un servizio, usa criteri dell'organizzazione o elenchi di accettazione da parte del consumatore. Per controllare quali client possono per inviare il traffico alle risorse Private Service Connect, Firewall VPC o criteri firewall.

Per ulteriori informazioni sulle autorizzazioni IAM, consulta Autorizzazioni IAM.

Per informazioni sulle autorizzazioni necessarie per creare un enpdoint, consulta Creare un endpoint.

Per informazioni sulle autorizzazioni necessarie per creare un servizio allegato, vedi Pubblicazione di un servizio con approvazione esplicita.

Stati della connessione

Risorse: endpoint, backend e collegamenti ai servizi

Gli endpoint, i backend e i collegamenti ai servizi di Private Service Connect hanno una connessione che descrive lo stato della connessione. Le risorse per consumatori e produttori dai due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizza endpoint dettagli, descrivere un backend oppure visualizzare i dettagli di un servizio pubblicato.

Nella tabella seguente sono descritti i possibili stati.

Stato della connessione	Descrizione
Accettati	La connessione Private Service Connect è stata stabilita. I due Le reti VPC dispongono di connettività che funziona normalmente.
In attesa	La connessione Private Service Connect non è stata stabilita e il traffico di rete non possono spostarsi tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: Il collegamento al servizio richiede l'approvazione esplicita, e non è nell'elenco di accettazione dei consumatori. Il numero di connessioni supera il limite di connessioni del collegamento al servizio. Il numero di connessioni propagate. associati a un endpoint superano le dimensioni massime limite di connessioni propagate. Le connessioni bloccate per questi motivi rimangono in stato di attesa per sempre finché il problema di fondo non viene risolto.
Rifiutata	La connessione Private Service Connect non è stata stabilita. Traffico di rete non possono spostarsi tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: Un produttore criteri dell'organizzazione ha rifiutato la connessione. R elenco di utenti rifiutati ha rifiutato la connessione.
Richiede attenzione	Si è verificato un problema di connessione lato producer. Una parte del traffico potrebbe il flusso di dati tra le due reti, ma alcune connessioni potrebbero non funzionare. Ad esempio: la subnet NAT del producer potrebbe essere esaurito e non essere in grado di allocare indirizzi IP per le nuove connessioni.
Chiuso	Il collegamento al servizio è stato eliminato e La connessione Private Service Connect è chiusa. Traffico di rete non possono spostarsi tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare il collegamento al servizio e l'endpoint o il backend.

Configurazione del collegamento al servizio

Puoi controllare quali consumer possono connettersi al collegamento a un servizio utilizzando le seguenti funzionalità.

Preferenza di connessione

Risorse: endpoint e backend

Ogni collegamento al servizio ha una preferenza di connessione che specifica se la connessione vengono accettate automaticamente. Le opzioni sono tre:

Accetta automaticamente tutte le connessioni. Il collegamento al servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer. Accettazione automatica può essere sostituito da criteri dell'organizzazione che blocca le connessioni in entrata.
Accetta connessioni per le reti selezionate. Il collegamento al servizio accetta solo richieste di connessione in entrata se la rete VPC consumer è nell'elenco di accettazione del consumer del collegamento al servizio.
Accetta le connessioni per i progetti selezionati. Il collegamento al servizio accetta solo richieste di connessione in entrata se il progetto consumer è nell'elenco di accettazione del consumer del collegamento al servizio.

Ti consigliamo di accettare connessioni per le reti o i progetti selezionati. Accettazione automatica tutte le connessioni potrebbero essere appropriate se controlli l'accesso consumer tramite mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.

Elenchi di accettazione e rifiuto

Risorse: endpoint e backend

Le liste di accettazione dei consumatori e le liste di rifiuto dei consumatori sono una funzionalità di sicurezza del servizio allegati. Gli elenchi di accettazione e rifiuto consentono i producer di servizi specificano quali consumer possono stabilire connessioni Private Service Connect ai loro servizi. Gli elenchi di accettazione del consumer specificano se una connessione viene accettata e il consumer Gli elenchi di elementi rifiutati specificano se la connessione viene rifiutata. Entrambi gli elenchi ti consentono di specificare i consumatori in base Rete VPC o progetto della risorsa che si connette. Se aggiungi un progetto o una rete sia all'elenco di accettazione che alla lista bloccata, le richieste di connessione dal progetto o dalla rete vengono rifiutato. La specifica dei consumer per cartella non è supportata.

Gli elenchi di accettazione dei consumer e gli elenchi di utenti rifiutati dei consumer consentono di specificare progetti o VPC ma non contemporaneamente. Puoi modificare un elenco da un tipo all'altro senza interrompendo la connessione, ma devi apportare la modifica in un singolo aggiornamento. Altrimenti, alcune potrebbero passare temporaneamente allo stato In attesa.

Quando aggiorni un elenco di accettazione o rifiuto di un consumatore, l'effetto sull'attuale e le connessioni variano in base all'abilitazione o meno della riconciliazione delle connessioni. Per ulteriori informazioni, consulta la sezione Riconciliazione delle connessioni.

Per informazioni su come creare un nuovo collegamento a un servizio con consumer accettare o rifiutare elenchi, consulta Pubblicare un servizio con l'approvazione esplicita del progetto.

Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto del consumatore, vedi Gestire le richieste di accesso a un servizio pubblicato.

Limiti di connessione

Risorse: endpoint e backend

Le liste di accettazione del consumer hanno limiti di connessioni. Questi limiti stabiliscono il numero totale Connessioni di backend ed endpoint Private Service Connect che un collegamento a un servizio può accettare dal progetto consumer o dal VPC specificato in ogni rete. I producer possono utilizzare questi limiti per impedire ai singoli consumer di esaurire gli indirizzi IP o quote delle risorse nella rete VPC del producer. Ciascuno ha accettato La connessione Private Service Connect viene sottratta dal limite configurato per un consumer un progetto o una rete VPC. I limiti vengono impostati quando creazione o aggiorna il consumatore accetta gli elenchi. Puoi visualizzare le connessioni di un collegamento a un servizio quando descrivi collegamento del servizio. Le connessioni propagate non vengono conteggiate rispetto a questi limiti.

Ad esempio, considera un caso in cui un collegamento a un servizio abbia un elenco di accettazione dei consumer che include project-1 e project-2, entrambi con un limite di una connessione. La Il progetto project-1 richiede due connessioni, project-2 richiede una e project-3 richiede una connessione. Perché project-1 ha un limite di una connessione, la prima viene accettata, mentre la seconda rimane in attesa. La connessione da project-2 è stata accettata, mentre la connessione da project-3 rimane in attesa. La seconda connessione da project-1 può essere accettato aumentando il limite per project-1. Se project-3 viene aggiunto all'elenco di accettazione del consumer, la transizione da quella connessione in attesa di essere accettati.

Criteri dell'organizzazione

I criteri dell'organizzazione consentono di avere un ampio controllo sui progetti che possono connettersi alle reti o alle organizzazioni VPC utilizzando Private Service Connect.

I criteri dell'organizzazione descritti in questa pagina possono bloccare o rifiutare nuovi criteri Connessioni di Private Service Connect, ma non influiscono e connessioni esistenti.

Un criterio dell'organizzazione si applica ai discendenti della risorsa a cui fa riferimento in base alla valutazione della gerarchia. Ad esempio, un criterio dell'organizzazione che limita a un'organizzazione Google Cloud si applica anche cartelle, progetti e risorse figlio. Analogamente, elencare un'organizzazione come consentito consente anche l'accesso agli elementi secondari dell'organizzazione.

Per ulteriori informazioni sui criteri dell'organizzazione, vedi Criteri dell'organizzazione.

Criteri dell'organizzazione lato consumer

Puoi utilizzare limiti dell'elenco per controllare il deployment degli endpoint e backend. Se un endpoint o un backend è bloccato da un consumer criterio dell'organizzazione, la creazione della risorsa non va a buon fine.

Usa il vincolo dell'elenco restrictPrivateServiceConnectProducer per controllare a quali collegamenti di servizi possono connettersi endpoint e backend in base organizzazione produttrice.
Utilizza il vincolo dell'elenco disablePrivateServiceConnectCreationForConsumers per controllare il deployment degli endpoint in base alla tipo di connessione. Puoi bloccare il deployment di endpoint che si connettono a API di Google o bloccare il deployment di endpoint che connettersi ai servizi pubblicati.

Impedisci a endpoint o backend di connettersi alle organizzazioni producer

Risorse: endpoint e backend

Criteri dell'organizzazione che utilizzano restrictPrivateServiceConnectProducer vincolo dell'elenco con valori consentiti che impedisce a endpoint e backend di connettersi ai collegamenti dei servizi, a meno che non siano associati a uno di i valori consentiti dal criterio. Un criterio di questo tipo blocca le connessioni anche se sono consentiti dalla lista di accettazione del consumer del collegamento al servizio.

Ad esempio, il seguente criterio dell'organizzazione si applica a un'organizzazione denominata Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    – values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER
        - under:organizations/433637338589

La figura 2 mostra il risultato di questo criterio dell'organizzazione. Il criterio ha consentito valori per Org-A (ORG_A_NUMBER) e Google-org (433637338589). Endpoint e backend creati in Org-A possono comunicare con collegamenti ai servizi in Org-A, ma non con collegamenti ai servizi in Org-B.

**Figura 2.** Un criterio dell'organizzazione consente all'endpoint `psc-1` si connettono al collegamento del servizio `sa-1` e impedisce a `psc-3` di connettersi ai collegamenti dei servizi in `Org-B`. Gli endpoint e i backend in `Org-A` possono connettersi ai collegamenti ai servizi di proprietà di Google.

Puoi consentire alle istanze dei seguenti tipi di risorse di creare endpoint con il vincolo compute.restrictPrivateServiceConnectProducer:

Organizzazioni
Cartelle
Progetti

Per informazioni su come creare un criterio dell'organizzazione che utilizzi Vincolo di compute.restrictPrivateServiceConnectProducer; consulta Impedire a endpoint e backend di connettersi a collegamenti di servizi non autorizzati.

Blocca la creazione di endpoint per tipo di connessione

Risorse interessate: endpoint

Puoi usare l'elenco disablePrivateServiceConnectCreationForConsumers un vincolo per bloccare la creazione di endpoint a seconda che siano la connessione alle API di Google o ai servizi pubblicati (collegamenti dei servizi).

Per informazioni su come creare un criterio dell'organizzazione che utilizzi Vincolo di disablePrivateServiceConnectCreationForConsumers; consulta Impedisci ai consumatori di eseguire il deployment degli endpoint in base al tipo di connessione.

Criteri dell'organizzazione lato producer

Risorse interessate: endpoint e backend

Puoi utilizzare i criteri dell'organizzazione con compute.restrictPrivateServiceConnectConsumer elencare il vincolo per controllare quali endpoint e backend possono connettersi ai collegamenti di servizio Private Service Connect all'interno di un'organizzazione o un progetto producer. Se un endpoint o un backend viene rifiutato da un producer, la creazione della risorsa va a buon fine, la connessione entra nello stato rifiutato.

Controllare l'accesso in questo modo è un po' simile all'utilizzo degli elenchi di accettazione e rifiuto, tranne per il fatto che i criteri dell'organizzazione si applicano a tutti i collegamenti ai servizi in un progetto o organizzazione anziché a un singolo collegamento a un servizio.

Puoi utilizzare i criteri dell'organizzazione e accettare elenchi insieme, con criteri che applicano l'accesso a un servizio gestito e accettano elenchi per controllare l'accesso ai singoli collegamenti ai servizi.

Criteri dell'organizzazione che utilizzano compute.restrictPrivateServiceConnectConsumer collegamento rifiutato da endpoint e backend, a meno che l'endpoint o il backend non sia associato uno dei valori consentiti del criterio. Un criterio di questo tipo rifiuta le connessioni anche se sono consentiti da una lista consentita.

Ad esempio, il seguente criterio dell'organizzazione si applica a un'organizzazione denominata Organizzazione A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER

La figura 3 mostra il risultato di questo criterio dell'organizzazione. Il criterio ha un'estensione consentita valore di Org-A (ORG_A_NUMBER). Endpoint in altre reti VPC in Org-A possono connettersi al servizio allegati in Org-A. Gli endpoint in Org-B che tentano di connettersi vengono rifiutati.

**Figura 3.** Un criterio dell'organizzazione consente a `psc-1` si connette a `sa-1`, mentre blocca `psc-2` connessione.

Puoi consentire alle istanze dei seguenti tipi di risorse di creare endpoint con il vincolo restrictPrivateServiceConnectConsumer:

Organizzazioni
Cartelle
Progetti

Per ulteriori informazioni sull'uso dei criteri dell'organizzazione con i producer di servizi, consulta i criteri dell'organizzazione del producer.

Interazione tra gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione

Sia gli elenchi di accettazione dei consumer che i criteri dell'organizzazione stabiliscono se una connessione può tra due risorse Private Service Connect. Le connessioni sono bloccate se una lista di accettazione o un criterio dell'organizzazione nega la connessione.

Ad esempio, un criterio con il vincolo restrictPrivateServiceConnectConsumer può essere configurato in modo da bloccare le connessioni dall'esterno dell'organizzazione del producer. Anche se collegamento al servizio è configurato per accettare automaticamente tutte le connessioni, l'organizzazione il criterio blocca comunque le connessioni dall'esterno dell'organizzazione del producer. I nostri suggerimenti utilizzando contemporaneamente sia elenchi di accettazione che criteri dell'organizzazione per fornire dati su più livelli sicurezza.

Firewall

Risorse: tutte

Puoi utilizzare le regole firewall e i criteri firewall per controllare l'accesso a livello di rete alle risorse Private Service Connect.

Per saperne di più sulle regole firewall VPC in generale, consulta Regole firewall VPC.

Per ulteriori informazioni sull'utilizzo delle regole firewall VPC per limitare per l'accesso a endpoint o backend in una rete VPC consumer, consulta Utilizza le regole firewall per limitare l'accesso a endpoint o backend.