Mit VPC Service Controls können Sie Perimeter erstellen, die sich um Ihre Google Cloud Ressourcen erstrecken. Sie können dann Sicherheitsrichtlinien definieren, mit denen der Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindert wird. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.
Sie können VPC Service Controls verwenden, um die folgenden Policy Intelligence APIs zu schützen:
- Policy Troubleshooter API
- Policy Simulator API
Policy Troubleshooter API schützen
Sie können die Fehlerbehebung für Richtlinien mit VPC Service Controls sichern.
Wenn Sie die Policy Troubleshooter API mit einem Perimeter einschränken, können Hauptkonten nur dann IAM-Richtlinien prüfen, wenn sich alle in der Anfrage enthaltenen Ressourcen im selben Perimeter befinden. In der Regel sind zwei Ressourcen an einer Anfrage zur Fehlerbehebung beteiligt:
Die Ressource, für deren Zugriff Sie die Fehlerbehebung ausführen. Diese Ressource kann einen beliebigen Typ haben. Sie geben diese Ressource explizit an, wenn Sie Probleme mit einer IAM-Richtlinie beheben.
Die Ressource, die Sie zur Fehlerbehebung des Zugriffs verwenden. Diese Ressource muss ein Projekt, ein Ordner oder eine Organisation sein. In der Google Cloud Console und der gcloud CLI wird diese Ressource basierend auf dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Ressource identisch sein, für die Sie den Zugriff simulieren, muss sie aber nicht.
Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit der Richtlinien-Fehlerbehebung finden Sie im Eintrag zur Richtlinien-Fehlerbehebung in der Tabelle der unterstützten VPC Service Controls-Produkte.
Policy Simulator API schützen
Sie können die Policy Simulator API mit einem Perimeter einschränken, wenn Sie Organisationsrichtlinien oder Zulassungs- und Ablehnungsrichtlinien simulieren.
Hauptkonten können Organisationsrichtlinien wie erwartet innerhalb von Dienstperimetern simulieren.
VPC Service Controls unterstützt das Hinzufügen von Ordner- oder Organisationsressourcen zu Dienstperimetern nicht. Daher können Sie VPC Service Controls nicht zum Schutz von Simulationen von Ablehnungsrichtlinien auf Ordner- und Organisationsebene verwenden. Ablehnungsrichtliniensimulationen für Ressourcen außerhalb des Dienstperimeters geben weiterhin vollständige Ergebnisse zurück und Ablehnungsrichtliniensimulationen für Ressourcen auf Projektebene sind geschützt.
Hauptkonten können Zulassungsrichtlinien nur simulieren, wenn sich bestimmte an der Simulation beteiligte Ressourcen im selben Perimeter befinden. An einer Simulation einer Zulassungsrichtlinie sind mehrere Ressourcen beteiligt:
Die Ressource, deren Zulassungsrichtlinie Sie simulieren. Diese Ressource wird auch als Zielressource bezeichnet. In der Google Cloud Console ist dies die Ressource, deren Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und der REST API geben Sie diese Ressource explizit an, wenn Sie eine Zulassungsrichtlinie simulieren.
Das Projekt, der Ordner oder die Organisation, mit dem die Simulation erstellt und ausgeführt wird. Diese Ressource wird auch als Hostressource bezeichnet. In derGoogle Cloud Console und der gcloud CLI wird diese Ressource basierend auf dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Zielressource identisch sein, muss es aber nicht.
Die Ressource, die Zugriffslogs für die Simulation bereitstellt. In einer Simulation gibt es immer eine Ressource, die Zugriffslogs für die Simulation bereitstellt. Diese Ressource variiert je nach Zielressourcentyp:
- Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, ruft der Richtliniensimulator die Zugriffslogs für dieses Projekt oder diese Organisation ab.
- Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, ruft der Policy Simulator die Zugriffslogs für das übergeordnete Projekt oder die übergeordnete Organisation dieser Ressource ab.
- Wenn Sie Zulassungsrichtlinien für mehrere Ressourcen gleichzeitig simulieren, ruft Policy Simulator die Zugriffslogs für die nächstgelegenen gemeinsamen Projekte oder Organisationen der Ressourcen ab.
Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien. Wenn Policy Simulator eine Simulation ausführt, werden alle Zulassungsrichtlinien berücksichtigt, die sich auf den Zugriff des Nutzers auswirken können, einschließlich Zulassungsrichtlinien für die Ressourcen der Vorgänger- und Nachfolgerelemente der Zielressource. Daher sind diese Ressourcen von Vorgänger- und Nachfolgerelementen auch in Simulationen beteiligt.
Wenn sich die Zielressource und die Hostressource nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn sich die Zielressource und die Ressource, die Zugriffslogs für die Simulation bereitstellt, nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn sich die Zielressource und einige unterstützte Ressourcen mit relevanten Zulassungsrichtlinien nicht im selben Perimeter befinden, ist die Anfrage erfolgreich, die Ergebnisse sind jedoch möglicherweise unvollständig. Wenn Sie beispielsweise eine Richtlinie für ein Projekt in einem Perimeter simulieren, enthalten die Ergebnisse nicht die Zulassungsrichtlinie der übergeordneten Organisation des Projekts, da Organisationen immer außerhalb von VPC Service Controls-Perimetern liegen. Um vollständigere Ergebnisse zu erhalten, können Sie Regeln für eingehenden und ausgehenden Traffic für den Perimeter konfigurieren.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit dem Policy Simulator finden Sie im Eintrag zum Richtliniensimulator in der Tabelle der unterstützten VPC Service Controls-Produkte.