Questa pagina descrive come gestire la configurazione dry run per i perimetri di servizio. Per informazioni generali sulla gestione dei perimetri di servizio, consulta Gestione dei perimetri di servizio.
Prima di iniziare
Leggi Modalità dry run
Imposta la policy di accesso predefinita per l'utilizzo dello strumento a riga di comando
gcloud.-oppure-
Recupera il nome della policy. Il nome della policy è obbligatorio per i comandi che utilizzano lo strumento a riga di comando
gcloude per effettuare chiamate API. Se imposti una policy di accesso predefinita, non è necessario specificare la policy per lo strumento a riga di comandogcloud.
Applicazione forzata di una configurazione dry run
Quando la configurazione dry run per un perimetro di servizio ti soddisfa, puoi applicarla. Una volta applicata, la configurazione dry run sostituisce l'attuale configurazione applicata per un perimetro, se esistente. Se non esiste una versione applicata in modo forzato del perimetro, la configurazione dry run viene utilizzata come configurazione iniziale applicata in modo forzato per il perimetro.
Dopo aver aggiornato un perimetro di servizio, la propagazione e l'applicazione delle modifiche potrebbero richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, fai clic su Modalità dry run.
Nell'elenco dei perimetri di servizio, fai clic sul nome di quello da applicare.
Nella pagina Dettagli del perimetro di servizio, fai clic su Applica in modo forzato la configurazione.
Quando ti viene chiesto di confermare che vuoi sovrascrivere la configurazione applicata in modo forzato esistente, fai clic su Conferma.
gcloud
Puoi utilizzare lo strumento a riga di comando gcloud per applicare in modo forzato la configurazione dry run per un singolo perimetro o per tutti i perimetri contemporaneamente.
Applica in modo forzato una singola configurazione dry run
Per applicare in modo forzato la configurazione dry run per un singolo perimetro, utilizza il comando dry-run enforce:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio di cui vuoi ottenere i dettagli.
POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.
Applica in modo forzato tutte le configurazioni dry run
Per applicare in modo forzato la configurazione dry run per tutti i perimetri, utilizza il comando dry-run enforce-all:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio di cui vuoi ottenere i dettagli.
ETAG è una stringa che rappresenta la versione di destinazione della policy di accesso della tua organizzazione. Se non includi un ETag, la destinazione dell'operazione
enforce-allè l'ultima versione della policy di accesso della tua organizzazione.Per ottenere l'ultimo ETag della tua policy di accesso, esegui il comando
listsulle tue policy di accesso.POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.
API
Per applicare in modo forzato la configurazione dry run a tutti i tuoi perimetri, chiama accessPolicies.servicePerimeters.commit.
Aggiornamento di una configurazione dry run
Quando aggiorni una configurazione dry run, puoi modificare l'elenco di servizi, progetti e servizi accessibili da VPC, oltre ad altre funzionalità del perimetro.
Dopo aver aggiornato un perimetro di servizio, la propagazione e l'applicazione delle modifiche potrebbero richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, fai clic su Modalità dry run.
Nell'elenco dei perimetri di servizio, fai clic sul nome di quello da modificare.
Nella pagina Dettagli del perimetro di servizio, fai clic su Modifica.
Nella pagina Modifica perimetro di servizio, apporta modifiche alla configurazione dry run del perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere nuovi progetti a un perimetro, utilizza il comando dry-run update e specifica le risorse da aggiungere:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio di cui vuoi ottenere i dettagli.
RESOURCES è un elenco separato da virgole di uno o più numeri di progetto o nomi di reti VPC. Ad esempio,
projects/12345o//compute.googleapis.com/projects/my-project/global/networks/vpc1. Sono consentiti solo progetti e reti VPC. Formato progetto:projects/<project_number>. Formato VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.
Per aggiornare l'elenco dei servizi limitati, utilizza il comando dry-run update e specifica i servizi da aggiungere come elenco delimitato da virgole:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dove:
PERIMETER_NAME è il nome del perimetro di servizio di cui vuoi ottenere i dettagli.
SERVICES è un elenco delimitato da virgole di uno o più servizi. Ad esempio,
storage.googleapis.comostorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.
Individuazione delle richieste bloccate
Dopo aver creato una configurazione dry run, puoi esaminare i log per identificare i punti in cui la configurazione dry run negherebbe l'accesso ai servizi se applicata in modo forzato.
Console
Nel menu di navigazione della console Google Cloud , fai clic su Logging, quindi su Esplora log.
Nel campo Query, inserisci un filtro di query come quello riportato di seguito, quindi fai clic su Esegui query.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Visualizza i log in Risultati delle query.
gcloud
Per visualizzare i log utilizzando gcloud CLI, esegui un comando come quello riportato di seguito:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'