Crea un perimetro di servizio

In questa pagina viene descritto come creare un perimetro di servizio.

Prima di iniziare

Crea un perimetro di servizio

Questa sezione descrive come creare un perimetro di servizio, aggiungere progetti o reti VPC al perimetro e proteggere i servizi.

Quando crei un perimetro di servizio, puoi facoltativamente consentire l'accesso a servizi protetti dall'esterno del perimetro e specificare quali servizi sono accessibili ad altri e gli utenti all'interno del perimetro. Se preferisci, puoi configurare queste impostazioni dopo aver creato un perimetro.

Dopo aver creato un perimetro di servizio o aver aggiornato uno esistente, è possibile per la propagazione e l'applicazione delle modifiche potrebbero essere necessari fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.

Console

  1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza e poi fai clic su Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Se richiesto, seleziona l'organizzazione, la cartella o il progetto.

  3. Seleziona un criterio di accesso esistente o crea un nuovo accesso . Assicurati che l'ambito del criterio di accesso includa tutti i progetti alle reti VPC da aggiungere al perimetro.

  4. Nella pagina Controlli di servizio VPC, seleziona un perimetro . Per impostazione predefinita, è selezionata la Modalità di applicazione forzata. Se vuoi creare un perimetro in modalità di prova, fai clic su Modalità dry run.

    I perimetri applicati impediscono attivamente l'accesso ai servizi protetti. I perimetri in modalità dry run registrano le violazioni del perimetro come se fossero servizi ma non ne impediscono l'accesso. Per ulteriori informazioni sulle modalità di applicazione forzata e dry run, perimetri di servizio.

  5. Fai clic su Nuovo perimetro.

  6. Nella pagina Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro.

    Il nome del perimetro può avere una lunghezza massima di 50 caratteri. Deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il nome del perimetro è sensibile alle maiuscole e deve essere univoco all'interno di un criterio di accesso.

  7. Per aggiungere progetti o reti VPC che vuoi proteggere all'interno del perimetro, procedi nel seguente modo:

    1. Fai clic su Aggiungi risorse.

    2. Per aggiungere progetti al perimetro, nel riquadro Aggiungi risorse, fai clic su Aggiungi progetto.

      1. Per selezionare un progetto, selezionalo nella finestra di dialogo Aggiungi progetti casella di controllo del progetto.

      2. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.

    3. Per aggiungere reti VPC al perimetro, nel riquadro Aggiungi risorse, fai clic su Aggiungi rete VPC.

      1. Nell'elenco dei progetti, fai clic sul progetto che contiene le reti VPC.
      2. Per aggiungere una rete VPC, selezionala nella finestra di dialogo Aggiungi risorse casella di controllo della rete VPC.
      3. Fai clic su Aggiungi risorse selezionate. La rete aggiunta viene visualizzata nella sezione Reti VPC.

  8. Per selezionare i servizi che vuoi proteggere all'interno del perimetro, procedi nel seguente modo:

    1. Fai clic su Servizi limitati.

    2. Nel riquadro Servizi limitati, fai clic su Aggiungi servizi.

    3. Per proteggere i servizi all'interno del perimetro, consulta la sezione Specificare i servizi da limitare. seleziona la casella di controllo del servizio in questione.

    4. Fai clic su Aggiungi servizi n, dove n è il numero di servizi che hai selezionato nel passaggio precedente.

  9. (Facoltativo) Se vuoi definire quali servizi sono accessibili all'interno perimetro, procedi nel seguente modo:

    1. Fai clic su Servizi accessibili da VPC.

    2. Nel riquadro Servizi accessibili da VPC, seleziona Servizi selezionati.

      per includere rapidamente tutti i servizi limitati protetti dal perimetro. all'elenco dei servizi accessibili, seleziona Includi tutte le restrizioni Google Cloud. Questa opzione ti consente di includere servizi separati in oltre ai servizi limitati.

    3. Fai clic su Aggiungi servizi accessibili VPC.

      Puoi anche aggiungere servizi accessibili dopo aver creato un perimetro.

    4. Nella pagina Specifica servizi accessibili, seleziona il che vuoi rendere accessibile all'interno all'interno del perimetro.

    5. Fai clic su Aggiungi servizi n, dove si trova n il numero di servizi selezionato nel passaggio precedente.

  10. (Facoltativo) Per consentire l'accesso alle risorse protette dall'esterno utilizzando i livelli di accesso, procedi nel seguente modo:

    1. Fai clic su Livelli di accesso.

    2. Nel riquadro Criterio in entrata: livelli di accesso, fai clic sulla casella Scegli il livello di accesso.

      Puoi anche aggiungere livelli di accesso dopo la creazione di un perimetro.

    3. Seleziona le caselle di controllo corrispondenti ai livelli di accesso a cui da applicare al perimetro.

  11. Per consentire l'accesso alle risorse all'interno di un perimetro da parte dei client API esterni al perimetro, procedi nel seguente modo:

    1. Fai clic su Criterio in entrata.

    2. Nel riquadro Regole in entrata, fai clic su Aggiungi regola.

    3. Specifica le origini dall'esterno del perimetro che richiedono l'accesso in Da attributi del client API. Puoi specificare progetti, livelli di accesso e reti VPC come origini.

    4. Specifica le risorse all'interno del perimetro a cui le origini possono accedere negli attributi A delle risorse/dei servizi Google Cloud.

      Per un elenco degli attributi delle regole in entrata, consulta Informazioni di riferimento sulle regole in entrata.

  12. consentire l'accesso a risorse o client API all'interno della dalle risorse esterne al perimetro, procedi nel seguente modo:

    1. Fai clic su Criterio in uscita.

    2. Nel riquadro Regole in uscita, fai clic su Aggiungi regola.

    3. Specifica gli attributi Da del client API e A gli attributi di risorse/servizi Google Cloud che desideri.

      Per un elenco degli attributi delle regole in uscita, consulta Riferimento per le regole in uscita.

  13. Fai clic su Crea perimetro.

gcloud

Per creare un nuovo perimetro in modalità applicata, utilizza il comando gcloud access-context-manager perimeters create.

gcloud access-context-manager perimeters create NAME \
  --title=TITLE \
  --resources=RESOURCES \
  --restricted-services=RESTRICTED-SERVICES \
  --ingress-policies=INGRESS-FILENAME.yaml \
  --egress-policies=EGRESS-FILENAME.yaml \
  [--access-levels=LEVELS] \
  [--enable-vpc-accessible-services] \
  [--vpc-allowed-services=ACCESSIBLE-SERVICES] \
  --policy=POLICY_NAME

Per creare un nuovo perimetro in modalità dry run, utilizza gcloud access-context-manager perimeters dry-run create .

gcloud access-context-manager perimeters dry-run create NAME \
  --perimeter-title=TITLE \
  --perimeter-type=TYPE \
  --perimeter-resources=RESOURCES \
  --perimeter-restricted-services=RESTRICTED-SERVICES \
  --perimeter-ingress-policies=INGRESS-FILENAME.yaml \
  --perimeter-egress-policies=EGRESS-FILENAME.yaml \
  [--perimeter-access-levels=LEVELS] \
  [--perimeter-enable-vpc-accessible-services] \
  [--perimeter-vpc-allowed-services=ACCESSIBLE-SERVICES] \
  --policy=POLICY_NAME

Sostituisci quanto segue:

  • NAME è il nome del perimetro.

    Il nome di un perimetro può avere una lunghezza massima di 50 caratteri. Il nome deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il nome del perimetro è sensibile alle maiuscole e deve essere univoco all'interno di un criterio di accesso.

  • TITLE è il titolo leggibile del perimetro.

  • TYPE è il tipo di perimetro. Ad esempio, un'istruzione "Normale" un perimetro o un "ponte" perimetrale.

  • RESOURCES è un elenco separato da virgole di uno o più progetti numeri o nomi di reti VPC. Ad esempio: projects/12345 o //compute.googleapis.com/projects/my-project/global/networks/vpc1. Sono consentiti solo progetti e reti VPC. Formato progetto: projects/project_number. Formato VPC: //compute.googleapis.com/projects/project-id/global/networks/network_name. Se specifichi i progetti, sono supportati solo i numeri di progetto. Non puoi utilizzare il nome o l'ID del progetto.

  • RESTRICTED-SERVICES è un elenco di uno o più contenuti separati da virgole i servizi di machine learning. Ad esempio: storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.

  • INGRESS-FILENAME è un file JSON o YAML che contiene i valori di attributi origine, identità, progetto e servizio. Per un elenco di traffico in entrata degli attributi delle regole in entrata, consulta Informazioni di riferimento sulle regole in entrata.

  • EGRESS-FILENAME è un file JSON o YAML che contiene i valori di attributi di identità, progetto e servizio. Per un elenco di traffico in uscita degli attributi delle regole in uscita, consulta Riferimento alle regole in uscita.

  • POLICY_NAME è il nome numerico dell'accesso della tua organizzazione . Ad esempio, 330193482019. Devi solo includere il criterio se non hai impostato un criterio di accesso predefinito.

Opzioni aggiuntive:

  • --access-levels o --perimeter-access-levels è obbligatorio solo se vuoi aggiungere livelli di accesso quando tu crei il perimetro. LEVELS è un elenco separato da virgole di Uno o più livelli di accesso che vuoi applicare al servizio perimetrale.

    Puoi anche aggiungi livelli di accesso dopo aver creato il perimetro.

  • --enable-vpc-accessible-services e --vpc-allowed-services oppure --perimeter-enable-vpc-accessible-services e --perimeter-vpc-allowed-services sono necessaria solo se vuoi aggiungere servizi accessibili da VPC quando crei lungo il perimetro. ACCESSIBLE-SERVICES è un elenco separato da virgole di uno o più servizi a cui vuoi consentire le reti all'interno del tuo il perimetro per accedere. L'accesso ai servizi non inclusi in questo elenco viene impedito.

    Puoi rendere accessibile un servizio solo se lo proteggi anche quando per configurare il perimetro.

    Per includere rapidamente tutti i servizi protetto da un perimetro, specifica RESTRICTED-SERVICES nell'elenco ACCESSIBLE-SERVICES. Ad esempio: --perimeter-vpc-allowed-services=RESTRICTED-SERVICES.

    Puoi anche definire i servizi accessibili da VPC dopo tu crei il perimetro.

Ad esempio, il comando seguente crea un nuovo perimetro in modalità dry run denominato ProdPerimeter che include i progetti example-project e example-project2, e limita le capacità di Cloud Storage API BigQuery.

gcloud access-context-manager perimeters \
  dry-run create ProdPerimeter --perimeter-title="Production Perimeter" \
  --perimeter-type="regular" \
  --perimeter-resources=projects/12345,projects/67890 \
  --perimeter-restricted-services=storage.googleapis.com,bigquery.googleapis.com \
  --perimeter-ingress-policies=ingress.yaml \
  --perimeter-egress-policies=egress.yaml \
  --policy=330193482019

API

Per creare un perimetro di servizio, chiama accessPolicies.servicePerimeters.create.

 POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters

Dove:

  • POLICY_NAME è il nome numerico dell'accesso della tua organizzazione . Ad esempio, 330193482019.

Corpo della richiesta

Il corpo della richiesta deve includere un elemento ServicePerimeter risorsa che definisce il perimetro di servizio.

Per la risorsa ServicePerimeter, specifica PERIMETER_TYPE_REGULAR per perimeterType.

Modalità dry run

Il perimetro proposto deve essere incluso come spec e useExplicitDryRunSpec impostato su true.

Corpo della risposta

In caso di esito positivo, il corpo della risposta per la chiamata contiene una Operation che fornisce dettagli sul Operazione POST.

Passaggi successivi