Auf dieser Seite wird beschrieben, wie Sie die Probelaufkonfiguration für Ihre Dienstperimeter verwalten können. Allgemeine Informationen zum Verwalten von Dienstperimetern finden Sie unter Dienstperimeter verwalten.
Hinweis
Lesen Sie VPC Service Controls.
Probelaufmodus lesen
Legen Sie Ihre Standardzugriffsrichtlinie fest, um das
gcloud-Befehlszeilentool zu verwenden.– oder –
Rufen Sie den Namen Ihrer Richtlinie ab. Der Richtlinienname ist für Befehle erforderlich, die das
gcloud-Befehlszeilentool verwenden und API-Aufrufe ausführen. Wenn Sie eine Standardzugriffsrichtlinie festlegen, müssen Sie die Richtlinie nicht für dasgcloud-Befehlszeilentool angeben.
Probelaufkonfiguration erzwingen
Wenn Sie mit der Probelaufkonfiguration für einen Dienstperimeter zufrieden sind, können Sie diese Konfiguration erzwingen. Wenn eine Probelaufkonfiguration erzwungen wird, ersetzt sie die aktuell erzwungene Konfiguration für einen Perimeter, sofern vorhanden. Wenn keine erzwungene Version des Perimeters existiert, wird die Probelaufkonfiguration als anfängliche erzwungene Konfiguration für den Perimeter verwendet.
Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden. Während dieser Zeit kann der Perimeter Anfragen mit der folgenden Fehlermeldung blockieren: Error 403: Request is prohibited by organization's policy.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie auf der Seite VPC Service Controls auf Probelaufmodus.
Klicken Sie in der Liste der Dienstperimeter auf den Namen des Dienstperimeters, den Sie erzwingen möchten.
Klicken Sie auf der Seite Details von Dienstperimetern auf Konfiguration erzwingen.
Wenn Sie aufgefordert werden, zu bestätigen, dass Sie die vorhandene erzwungene Konfiguration überschreiben möchten, klicken Sie auf Bestätigen.
gcloud
Mit dem gcloud-Befehlszeilentool können Sie die Probekonfiguration für einen einzelnen Perimeter sowie für alle Perimeter gleichzeitig erzwingen.
Probelaufkonfiguration erzwingen
Verwenden Sie den Befehl dry-run enforce, um die Probelaufkonfiguration für einen einzelnen Perimeter zu erzwingen:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Dabei gilt:
PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.
POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.
Alle Probelaufkonfigurationen erzwingen
Verwenden Sie den Befehl dry-run enforce-all, um die Probelaufkonfiguration für alle Perimeter zu erzwingen:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Dabei gilt:
PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.
ETAG ist ein String, der die Zielversion der Zugriffsrichtlinie Ihrer Organisation darstellt. Wenn Sie kein ETag einfügen, wird die
enforce-all-Operation auf die aktuelle Version der Zugriffsrichtlinie Ihrer Organisation ausgerichtet.Listen Sie Ihre Zugriffsrichtlinien auf (
list), um das aktuelle ETag Ihrer Zugriffsrichtlinie zu erhalten.POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.
API
Rufen Sie accessPolicies.servicePerimeters.commit auf, um die Probelaufkonfiguration für alle Perimeter zu erzwingen.
Probelaufkonfiguration aktualisieren
Wenn Sie eine Probelaufkonfiguration aktualisieren, können Sie unter anderem die Liste der Dienste, Projekte und über VPC zugänglichen Dienste ändern.
Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden. Während dieser Zeit kann der Perimeter Anfragen mit der folgenden Fehlermeldung blockieren: Error 403: Request is prohibited by organization's policy.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie auf der Seite VPC Service Controls auf Probelaufmodus.
Klicken Sie in der Liste der Dienstperimeter auf den Namen des Dienstperimeters, den Sie bearbeiten möchten.
Klicken Sie auf der Seite Details von Dienstperimetern auf Bearbeiten.
Nehmen Sie auf der Seite Dienstperimeter bearbeiten die Änderungen an der Probelaufkonfiguration des Dienstperimeters vor.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl dry-run update und geben Sie die hinzuzufügenden Ressourcen an, um einem Perimeter neue Projekte hinzuzufügen:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Dabei gilt:
PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.
RESOURCES ist eine durch Kommas getrennte Liste mit einer oder mehreren Projektnummern oder VPC-Netzwerknamen. Beispiel:
projects/12345oder//compute.googleapis.com/projects/my-project/global/networks/vpc1. Es sind nur Projekte und VPC-Netzwerke zulässig. Projektformat:projects/<project_number>. VPC-Format://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.
Verwenden Sie zum Aktualisieren der Liste der eingeschränkten Dienste den Befehl dry-run update und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Dabei gilt:
PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.
SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel:
storage.googleapis.comoderstorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.
Blockierte Anfragen identifizieren
Nachdem Sie eine Probelaufkonfiguration erstellt haben, können Sie die Logs prüfen, um festzustellen, wo der Zugriff auf Dienste verweigert würde, sollte die Probelaufkonfiguration erzwungen werden.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Logging und dann auf Log-Explorer.
Geben Sie im Feld Abfrage einen Abfragefilter wie den folgenden ein und klicken Sie dann auf Abfrage ausführen.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Die Logs werden unter Abfrageergebnisse angezeigt.
gcloud
Wenn Sie Logs mit der gcloud CLI aufrufen möchten, führen Sie einen Befehl wie den folgenden aus:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'