Avec VPC Service Controls, vous pouvez créer des périmètres, qui sont des limites autour de vos Google Cloud ressources. Vous pouvez ensuite définir des règles de sécurité qui empêchent l'accès aux services compatibles depuis l'extérieur du périmètre. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.
Vous pouvez utiliser VPC Service Controls pour sécuriser les API Policy Intelligence suivantes :
- API Policy Troubleshooter
- API Policy Simulator
Aider à sécuriser l'API Policy Troubleshooter
Vous pouvez aider à sécuriser le dépannage des règles à l'aide de VPC Service Controls.
Lorsque vous limitez l'API Policy Troubleshooter avec un périmètre, les comptes principaux ne peuvent résoudre les problèmes liés aux règles IAM que si toutes les ressources impliquées dans la requête se trouvent dans le même périmètre. Une demande de dépannage implique généralement deux ressources :
La ressource pour laquelle vous rencontrez des problèmes d'accès cette ressource peut être de n'importe quel type. Vous spécifiez explicitement cette ressource lorsque vous résolvez les problèmes liés à une règle IAM.
La ressource que vous utilisez pour résoudre les problèmes d'accès cette ressource doit être un projet, un dossier ou une organisation. Dans la Google Cloud console et gcloud CLI, cette ressource est déduite en fonction du projet, du dossier, ou de l'organisation que vous avez sélectionnés. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête
x-goog-user-project.Cette ressource peut être identique à celle pour laquelle vous résolvez les problèmes d'accès, mais ce n'est pas obligatoire.
Si ces ressources ne se trouvent pas dans le même périmètre, la requête échoue.
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec Policy Troubleshooter, consultez l'entrée Policy Troubleshooter dans le tableau des produits compatibles avec VPC Service Controls.
Aider à sécuriser l'API Policy Simulator
Vous pouvez limiter l'API Policy Simulator avec un périmètre lorsque vous simulez des règles d'administration ou des règles d'autorisation et de refus.
Les comptes principaux peuvent simuler des règles d'administration comme prévu dans les périmètres de service.
VPC Service Controls ne permet pas d'ajouter des ressources de dossier ou d'organisation à des périmètres de service. Par conséquent, vous ne pouvez pas utiliser VPC Service Controls pour protéger les simulations de règles de refus au niveau des dossiers et de l'organisation. Les simulations de règles de refus sur les ressources en dehors du périmètre de service renvoient toujours des résultats complets, et les simulations de règles de refus sur les ressources au niveau du projet sont protégées.
Les comptes principaux ne peuvent simuler des règles d'autorisation que si certaines ressources impliquées dans la simulation se trouvent dans le même périmètre. Une simulation de règle d'autorisation implique plusieurs ressources :
La ressource dont vous simulez la règle d'autorisation cette ressource est également appelée ressource cible. Dans la Google Cloud console, il s'agit de la ressource dont vous modifiez la règle d'autorisation. Dans gcloud CLI et l'API REST, vous spécifiez explicitement cette ressource lorsque vous simulez une règle d'autorisation.
Le projet, le dossier ou l'organisation qui crée et exécute la simulation : cette ressource est également appelée ressource hôte. Dans la Google Cloud console et gcloud CLI, cette ressource est déduite en fonction du projet, du dossier ou de l'organisation que vous avez sélectionnés. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête
x-goog-user-project.Cette ressource peut être identique à la ressource cible, mais ce n'est pas obligatoire.
La ressource qui fournit les journaux d'accès pour la simulation : dans une simulation, il existe toujours une ressource qui fournit les journaux d'accès pour la simulation. Cette ressource varie en fonction du type de ressource cible :
- Si vous simulez une règle d'autorisation pour un projet ou une organisation, Policy Simulator récupère les journaux d'accès de ce projet ou de cette organisation.
- Si vous simulez une règle d'autorisation pour un type de ressource différent, Policy Simulator récupère les journaux d'accès pour le projet ou l'organisation parent de cette ressource.
- Si vous simulez des règles d'autorisation pour plusieurs ressources à la fois, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation les plus proches des ressources.
Toutes les ressources compatibles avec les règles d'autorisation pertinentes : lorsque Policy Simulator exécute une simulation, il prend en compte toutes les règles d'autorisation susceptibles d'avoir un impact sur l'accès de l'utilisateur, y compris les règles d'autorisation sur les ressources ancêtres et descendantes de la ressource cible. Par conséquent, ces ressources ancêtres et descendantes sont également impliquées dans les simulations.
Si la ressource cible et la ressource hôte ne se trouvent pas dans le même périmètre, la requête échoue.
Si la ressource cible et la ressource qui fournit les journaux d'accès pour la simulation ne se trouvent pas dans le même périmètre, la requête échoue.
Si la ressource cible et certaines ressources compatibles avec des règles d'autorisation pertinentes ne se trouvent pas dans le même périmètre, la requête aboutit, mais les résultats peuvent être incomplets. Par exemple, si vous simulez une règle pour un projet dans un périmètre, les résultats n'incluront pas la règle d'autorisation de l'organisation parente du projet, car les organisations se trouvent toujours en dehors des périmètres VPC Service Controls. Pour obtenir des résultats plus complets, vous pouvez configurer des règles d'entrée et de sortie pour le périmètre.
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec Policy Simulator, consultez l'entrée Policy Simulator dans le tableau des produits compatibles avec VPC Service Controls.
Étape suivante
- Découvrez comment créer un périmètre de service.