Configure os VPC Service Controls para a solução Application Integration
Os VPC Service Controls permitem-lhe definir um perímetro de segurança em torno do serviço Google Cloud Application Integration. Com o perímetro de segurança em torno do seu serviço, pode restringir os dados a uma VPC e mitigar os riscos de exfiltração de dados. Se ainda não conhece os VPC Service Controls, recomendamos que consulte as seguintes informações:
- Vista geral dos VPC Service Controls
- Detalhes e configuração do perímetro de serviço
- Conceda acesso aos VPC Service Controls
Este documento descreve como configurar um perímetro dos VPC Service Controls para o serviço Application Integration. Depois de configurar o perímetro, pode configurar políticas de saída e entrada que determinam a que outros serviços Google Cloud o serviço Application Integration (integrations.googleapis.com) pode aceder e, inversamente, a que serviços o serviço Application Integration pode aceder.
Antes de começar
Certifique-se de que tem as autorizações necessárias para configurar perímetros de serviço. Para ver uma lista das funções da IAM necessárias para configurar os VPC Service Controls, consulte o artigo Controlo de acesso com a IAM na documentação dos VPC Service Controls.
Crie um perímetro de serviço da VPC
Para criar um perímetro de serviço da VPC, pode usar o comando Google Cloud console,
ou o comando gcloud, ou a API accessPolicies.servicePerimeters.create.
Para mais informações, consulte o artigo Crie um perímetro de serviço.
Para criar um perímetro dos VPC Service Controls que conceda acesso ao utilizador através dos comandos gcloud, execute o seguinte comando:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
PERIMETER_TITLE: o nome do perímetro dos VPC Service ControlsPROJECT_ID: o projeto para o qual quer adicionar o perímetro dos VPC Service Controls
O comando anterior demora algum tempo a ser concluído. O perímetro dos VPC Service Controls restringe os serviços de integração para o seu projeto quando usa os serviços de integração de aplicações.
Para permitir que quaisquer endereços IP, contas de serviço ou utilizadores usem a integração de aplicações, use as regras de entrada e saída. Os VPC Service Controls usam regras de entrada e saída para permitir o acesso aos recursos e clientes protegidos por perímetros de serviço e a partir destes.
Adicione uma política de saída a um perímetro de serviço existente
Para adicionar uma política de saída a um perímetro de serviço existente,
use o comando gcloud access-context-manager
perimeters update. Por exemplo, o comando seguinte adiciona uma política de saída definida
no ficheiro vpcsc-egress.yaml a um perímetro de serviço existente denominado integrationPerimeter:
gcloud access-context-manager perimeters update integrationPerimeter --set-egress-policies=vpcsc-egress.yaml
Semelhante a uma política de saída, também pode definir uma política de entrada. Para saber mais sobre como especificar regras de entrada, consulte o artigo Referência de regras de entrada.
Valide o seu perímetro
Para validar o perímetro, use o comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Por exemplo, o comando seguinte descreve o perímetro integrationPerimeter:
gcloud access-context-manager perimeters describe integrationPerimeter
Para mais informações sobre a gestão de perímetros de serviço, consulte o artigo Faça a gestão de perímetros de serviço.
Considerações
Se tiver ativado o perímetro de serviço da VPC para o serviço Application Integration, não vai poder usar as seguintes tarefas nas suas integrações: