יצירת גבולות גזרה מגושרים

בדף הזה מוסבר איך ליצור גשרים בין גבולות גזרה לשירות.

לפני שמתחילים

יצירת גבולות גזרה מגושרים

המסוף

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר לדף VPC Service Controls

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. בדף VPC Service Controls, לוחצים על New perimeter.

  4. בדף Create a service perimeter, בשדה Title, מזינים שם להיקף.

    אפשר לחפש גבולות גזרה רק לפי השם שלו, לכן מומלץ להשתמש בשם ייחודי לגבולות גזרה. אי אפשר לחפש היקף באמצעות המזהה שלו.

  5. אופציונלי: בשדה תיאור, מזינים תיאור של ההיקף.

  6. בקטע סוג הגבולות, בוחרים באפשרות גשר.

  7. בקטע מצב אכיפה, בוחרים מצב אכיפה של גבולות גזרה. האפשרויות הזמינות הן הרצת בדיקה ואכיפה.

    מידע נוסף על מצב הרצה יבשה ומצב אכיפה זמין במאמר פרטים והגדרה של גבולות גזרה לשירות.

  8. לוחצים על Continue.

  9. בוחרים את הפרויקטים שרוצים לאבטח בתוך גבולות הגזרה:

    1. לוחצים על הוספת פרויקטים.

    2. בחלונית Add projects, מסמנים את התיבה בכל שורה שמתאימה לפרויקט שרוצים להוסיף להיקף.

    3. לוחצים על הוספת הפרויקטים שנבחרו.

  10. לוחצים על יצירה.

gcloud

כדי ליצור גשר בין היקפים, משתמשים בפקודה הבאה:

gcloud access-context-manager perimeters create BRIDGE_NAME \
  --title="BRIDGE_TITLE" --perimeter-type=bridge \
  --resources=PROJECTS \
  --policy=POLICY_NAME

כאשר:

  • BRIDGE_NAME הוא השם של גשר ההיקף שאתם יוצרים.

  • BRIDGE_TITLE הוא השם של הגשר.

  • PROJECTS היא רשימה מופרדת בפסיקים של מזהה פרויקט אחד או יותר. לדוגמה: projects/100712 או projects/100712,projects/233130. המערכת תומכת רק במזהים מספריים. אי אפשר להשתמש בשם הפרויקט.

  • POLICY_NAME הוא השם המספרי של מדיניות הגישה של הארגון. לדוגמה, 330193482019.

API

כדי ליצור גשר בין גבולות גזרה, מתקשרים אל accessPolicies.servicePerimeters.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters

כאשר:

  • POLICY_NAME הוא השם המספרי של מדיניות הגישה של הארגון. לדוגמה, 330193482019.

גוף הבקשה

גוף הבקשה חייב לכלול משאב ServicePerimeter שמגדיר את גשר ההיקף.

למשאב ServicePerimeter, מציינים PERIMETER_TYPE_BRIDGE בשביל perimeterType.

גוף התשובה

אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל משאב Operation עם פרטים על הפעולה POST.