Con i Controlli di servizio VPC, puoi creare perimetri, ovvero confini intorno alle tue risorse Google Cloud . Puoi quindi definire policy di sicurezza che contribuiscono a impedire l'accesso ai servizi supportati dall'esterno del perimetro. Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.
Puoi utilizzare i Controlli di servizio VPC per proteggere le seguenti API Policy Intelligence:
- API Policy Troubleshooting
- API Policy Simulator
Contribuire a proteggere l'API Policy Troubleshooter
Puoi contribuire a proteggere la risoluzione dei problemi relativi ai criteri utilizzando i Controlli di servizio VPC.
Quando limiti l'API Policy Troubleshooter con un perimetro, le entità possono risolvere i problemi relativi alle policy IAM solo se tutte le risorse coinvolte nella richiesta si trovano nello stesso perimetro. In genere, in una richiesta di risoluzione dei problemi sono coinvolte due risorse:
La risorsa per cui stai risolvendo i problemi di accesso. Questa risorsa può essere di qualsiasi tipo. Specifichi esplicitamente questa risorsa quando risolvi i problemi relativi a un criterio IAM.
La risorsa che stai utilizzando per risolvere i problemi di accesso. Questa risorsa deve essere un progetto, una cartella o un'organizzazione. Nella console Google Cloud e nell'gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifica questa risorsa utilizzando l'intestazione
x-goog-user-project.Questa risorsa può essere la stessa per cui stai risolvendo i problemi di accesso, ma non è necessario.
Se queste risorse non si trovano nello stesso perimetro, la richiesta non va a buon fine.
Per maggiori dettagli su come funzionano i Controlli di servizio VPC con lo strumento per la risoluzione dei problemi relativi ai criteri, consulta la voce relativa allo strumento per la risoluzione dei problemi relativi ai criteri nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Contribuire a proteggere l'API Policy Simulator
Puoi limitare l'API Policy Simulator con un perimetro quando simuli criteri dell'organizzazione o criteri di autorizzazione e negazione.
Le entità possono simulare le norme dell'organizzazione come previsto all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta l'aggiunta di risorse di cartelle o organizzazioni ai perimetri di servizio. Pertanto, non puoi utilizzare i Controlli di servizio VPC per proteggere le simulazioni delle policy di negazione a livello di cartella e di organizzazione. Le simulazioni della policy di negazione sulle risorse al di fuori del perimetro di servizio restituiscono comunque risultati completi e le simulazioni della policy di negazione sulle risorse a livello di progetto sono protette.
Le entità possono simulare le policy di autorizzazione solo se determinate risorse coinvolte nella simulazione si trovano nello stesso perimetro. Esistono diverse risorse coinvolte in una simulazione di criteri di autorizzazione:
La risorsa di cui stai simulando il criterio di autorizzazione. Questa risorsa è chiamata anche risorsa di destinazione. Nella console Google Cloud , questa è la risorsa di cui stai modificando il criterio di autorizzazione. Nell'interfaccia alla gcloud CLI e nell'API REST, specifica esplicitamente questa risorsa quando simuli una policy di autorizzazione.
Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è anche chiamata risorsa host. Nella consoleGoogle Cloud e gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifica questa risorsa utilizzando l'intestazione
x-goog-user-project.Questa risorsa può essere la stessa della risorsa di destinazione, ma non è necessario.
La risorsa che fornisce i log di accesso per la simulazione. In una simulazione, esiste sempre una risorsa che fornisce i log di accesso per la simulazione. Questa risorsa varia a seconda del tipo di risorsa di destinazione:
- Se simuli una policy di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log di accesso per quel progetto o quell'organizzazione.
- Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione padre della risorsa.
- Se simuli contemporaneamente le policy di autorizzazione di più risorse, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione comune più vicino alle risorse.
Tutte le risorse supportate con le policy di autorizzazione pertinenti. Quando Policy Simulator esegue una simulazione, prende in considerazione tutti i criteri di autorizzazione che potrebbero influire sull'accesso dell'utente, inclusi i criteri di autorizzazione sulle risorse antenate e discendenti della risorsa di destinazione. Di conseguenza, anche queste risorse ancestrali e discendenti sono coinvolte nelle simulazioni.
Se la risorsa di destinazione e la risorsa host non si trovano nello stesso perimetro, la richiesta non va a buon fine.
Se la risorsa di destinazione e la risorsa che fornisce i log di accesso per la simulazione non si trovano nello stesso perimetro, la richiesta non va a buon fine.
Se la risorsa di destinazione e alcune risorse supportate con criteri di autorizzazione pertinenti non si trovano nello stesso perimetro, le richieste vanno a buon fine, ma i risultati potrebbero essere incompleti. Ad esempio, se simuli un criterio per un progetto in un perimetro, i risultati non includeranno il criterio di autorizzazione dell'organizzazione padre del progetto, perché le organizzazioni si trovano sempre al di fuori dei perimetri dei Controlli di servizio VPC. Per ottenere risultati più completi, puoi configurare le regole in entrata e in uscita per il perimetro.
Per saperne di più su come funzionano i Controlli di servizio VPC con Policy Simulator, consulta la voce Policy Simulator nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Passaggi successivi
- Scopri come creare un perimetro di servizio.