Dengan Kontrol Layanan VPC, Anda dapat membuat perimeter, yang merupakan batas di sekitar Google Cloud resource Anda. Kemudian, Anda dapat menentukan kebijakan keamanan yang membantu mencegah akses ke layanan yang didukung dari luar perimeter. Untuk mengetahui informasi selengkapnya tentang Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.
Anda dapat menggunakan Kontrol Layanan VPC untuk membantu mengamankan Policy Intelligence API berikut:
- Policy Troubleshooter API
- Policy Simulator API
Membantu mengamankan Policy Troubleshooter API
Anda dapat membantu mengamankan pemecahan masalah kebijakan dengan menggunakan Kontrol Layanan VPC.
Saat Anda membatasi Policy Troubleshooter API dengan perimeter, principal hanya dapat memecahkan masalah kebijakan IAM jika semua resource yang terlibat dalam permintaan berada dalam perimeter yang sama. Biasanya ada dua resource yang terlibat dalam permintaan pemecahan masalah:
Resource yang masalah aksesnya sedang Anda pecahkan. Resource ini dapat berupa jenis apa pun. Anda harus secara eksplisit menentukan resource ini saat memecahkan masalah kebijakan IAM.
Resource yang Anda gunakan untuk memecahkan masalah akses. Resource ini harus berupa project, folder, atau organisasi. Di the Google Cloud Konsoldan gcloud CLI, resource ini diinferensikan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda harus menentukan resource ini menggunakan header
x-goog-user-project.Resource ini dapat sama dengan resource yang masalah aksesnya sedang Anda pecahkan, tetapi tidak harus begitu.
Jika resource ini tidak berada dalam perimeter yang sama, permintaan akan gagal.
Untuk mengetahui detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Policy Troubleshooter, lihat entri Policy Troubleshooter di tabel produk yang didukung Kontrol Layanan VPC.
Membantu mengamankan Policy Simulator API
Anda dapat membatasi Policy Simulator API dengan perimeter saat menyimulasikan kebijakan organisasi atau kebijakan izinkan dan tolak.
Principal dapat menyimulasikan kebijakan organisasi seperti yang diharapkan di dalam perimeter layanan.
Kontrol Layanan VPC tidak mendukung penambahan resource folder atau organisasi ke perimeter layanan. Oleh karena itu, Anda tidak dapat menggunakan Kontrol Layanan VPC untuk melindungi simulasi kebijakan tolak level folder dan level organisasi. Simulasi kebijakan tolak pada resource di luar perimeter layanan akan tetap menampilkan hasil lengkap, dan simulasi kebijakan tolak pada resource level project akan dilindungi.
Principal dapat menyimulasikan kebijakan izinkan hanya jika resource tertentu yang terlibat dalam simulasi berada dalam perimeter yang sama. Ada beberapa resource yang terlibat dalam simulasi kebijakan izinkan:
Resource yang kebijakan izinkan-nya sedang Anda simulasikan. Resource ini juga disebut resource target. Di Google Cloud Konsol, resource ini adalah resource yang kebijakan izinkan-nya sedang Anda edit. Di gcloud CLI dan REST API, Anda harus secara eksplisit menentukan resource ini saat menyimulasikan kebijakan izinkan.
Project, folder, atau organisasi yang membuat dan menjalankan simulasi. Resource ini juga disebut resource host. Di Google Cloud konsol dan gcloud CLI, resource ini diinferensikan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda harus menentukan resource ini menggunakan header
x-goog-user-project.Resource ini dapat sama dengan resource target, tetapi tidak harus begitu.
Resource yang menyediakan log akses untuk simulasi. Dalam simulasi, selalu ada satu resource yang menyediakan log akses untuk simulasi. Resource ini bervariasi bergantung pada jenis resource target:
- Jika Anda menyimulasikan kebijakan izinkan untuk project atau organisasi, Policy Simulator akan mengambil log akses untuk project atau organisasi tersebut.
- Jika Anda menyimulasikan kebijakan izinkan untuk jenis resource yang berbeda, Policy Simulator akan mengambil log akses untuk project atau organisasi induk resource tersebut.
- Jika Anda menyimulasikan kebijakan izinkan untuk beberapa resource sekaligus, Policy Simulator akan mengambil log akses project atau organisasi terdekat yang sama untuk resource tersebut.
Semua resource yang didukung dengan kebijakan izinkan yang relevan. Saat menjalankan simulasi, Policy Simulator mempertimbangkan semua kebijakan izinkan yang dapat memengaruhi akses pengguna, termasuk kebijakan izinkan di resource ancestor dan turunan untuk resource target. Akibatnya, resource ancestor dan turunan ini juga terlibat dalam simulasi.
Jika resource target dan resource host tidak berada dalam perimeter yang sama, permintaan akan gagal.
Jika resource target dan resource yang menyediakan log akses untuk simulasi tidak berada dalam perimeter yang sama, permintaan akan gagal.
Jika resource target dan beberapa resource yang didukung dengan kebijakan izinkan yang relevan tidak berada dalam perimeter yang sama, permintaan akan berhasil, tetapi hasilnya mungkin tidak lengkap. Misalnya, jika Anda menyimulasikan kebijakan untuk project yang berada dalam sebuah perimeter, hasilnya tidak akan menyertakan kebijakan izinkan organisasi induk project tersebut, karena organisasi selalu berada di luar perimeter Kontrol Layanan VPC. Untuk mendapatkan hasil yang lebih lengkap, Anda dapat mengonfigurasi aturan ingress dan egress untuk perimeter tersebut.
Untuk mengetahui detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Policy Simulator, lihat entri Policy Simulator di tabel produk yang didukung Kontrol Layanan VPC.
Langkah berikutnya
- Pelajari cara Membuat perimeter layanan.