透過 VPC Service Controls,您可以建立範圍,也就是資源周圍的邊界。 Google Cloud 接著,您可以定義安全性政策,防止從 perimeter 外部存取支援的服務。如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
您可以使用 VPC Service Controls,協助保護下列 Policy Intelligence API:
- Policy Troubleshooter API
- Policy Simulator API
協助保護 Policy Troubleshooter API 安全
您可以使用 VPC Service Controls,確保政策疑難排解程序安全無虞。
使用安全防護範圍限制 Policy Troubleshooter API 時,只有當要求中涉及的所有資源都位於同一安全防護範圍內,主體才能排解 IAM 政策問題。排解問題要求通常會涉及兩項資源:
要排解存取問題的資源。這項資源可以是任何類型。排解 IAM 政策問題時,您會明確指定這項資源。
您用來排解存取問題的資源。這項資源必須是專案、資料夾或機構。在 Google Cloud 控制台和 gcloud CLI 中,系統會根據您選取的專案、資料夾或機構推斷這項資源。在 REST API 中,您可以使用
x-goog-user-project標頭指定這項資源。這個資源可以與您要排解存取權問題的資源相同,但不必如此。
如果這些資源不在同一個範圍內,要求就會失敗。
如要進一步瞭解 Policy Troubleshooter 如何與 VPC Service Controls 搭配運作,請參閱「VPC Service Controls 支援的產品表」中的 Policy Troubleshooter 項目。
確保 Policy Simulator API 安全無虞
模擬機構政策或允許和拒絕政策時,您可以使用 perimeter 限制 Policy Simulator API。
主體可在服務安全防護範圍內,如預期般模擬機構政策。
VPC Service Controls 不支援將資料夾或機構資源新增至服務範圍。因此,您無法使用 VPC Service Controls 保護資料夾層級和機構層級的拒絕政策模擬。服務範圍外的資源拒絕政策模擬作業仍會傳回完整結果,且專案層級資源的拒絕政策模擬作業會受到保護。
只有當模擬作業涉及的特定資源位於相同範圍內時,主體才能模擬允許政策。允許政策模擬作業會涉及下列資源:
要模擬允許政策的資源。這項資源也稱為「目標資源」。在 Google Cloud 控制台中,這是您要編輯允許政策的資源。在 gcloud CLI 和 REST API 中,模擬允許政策時,您需要明確指定這項資源。
建立及執行模擬作業的專案、資料夾或機構。 這個資源也稱為「主機資源」。在Google Cloud 控制台和 gcloud CLI 中,系統會根據您選取的專案、資料夾或機構推斷這項資源。在 REST API 中,您可以使用
x-goog-user-project標頭指定這項資源。這項資源可以與目標資源相同,但不一定要相同。
提供模擬存取記錄的資源。在模擬中,一律會有一個資源提供模擬的存取記錄。這項資源會因目標資源類型而異:
- 如果您要模擬專案或機構的允許政策,政策模擬器會擷取該專案或機構的存取記錄。
- 如果您要模擬其他類型的資源允許政策,Policy Simulator 會擷取該資源父項專案或機構的存取記錄。
- 如果您要一次模擬多項資源的允許政策,政策模擬工具會擷取資源最接近的共同專案或機構的存取記錄。
所有支援的資源,以及相關的允許政策。Policy Simulator 執行模擬時,會考量可能影響使用者存取權的所有允許政策,包括目標資源上層和下層資源的允許政策。因此,這些祖先和後代資源也會參與模擬。
如果目標資源和主機資源不在同一個服務範圍內,要求就會失敗。
如果目標資源和提供模擬存取記錄的資源不在同一個範圍內,要求就會失敗。
如果目標資源和一些具有相關允許政策的支援資源不在同一週邊範圍內,要求會成功,但結果可能不完整。舉例來說,如果您要模擬範圍內專案的政策,結果不會包含專案上層機構的允許政策,因為機構一律位於 VPC Service Controls 範圍外。如要取得更完整的結果,您可以為 perimeter 設定輸入和輸出規則。
如要進一步瞭解 VPC Service Controls 如何搭配 Policy Simulator 運作,請參閱 VPC Service Controls 支援的產品表格中的 Policy Simulator 項目。
後續步驟
- 瞭解如何建立 service perimeter。