En esta página, se describe cómo administrar la configuración de la prueba de validación para tus perímetros de servicio. Para obtener información sobre la administración general de los perímetros de servicio, consulta Administra perímetros de servicio.
Antes de comenzar
Lee Descripción general de los Controles del servicio de VPC.
Configura tu política de acceso predeterminada para usar la herramienta de línea de comandos de
gcloud.o bien
Obtén el nombre de tu política. El nombre de la política es obligatorio para los comandos que usan la herramienta de línea de comandos de
gcloudy hacen llamadas a la API. Si estableces una política de acceso predeterminada, no necesitas especificarla para la herramienta de línea de comandos degcloud.
Aplica una configuración de ejecución de prueba
Cuando estés satisfecho con la configuración de ejecución de prueba para un perímetro de servicio, puedes aplicarla. Cuando se aplica una configuración de ejecución de prueba, se reemplaza la configuración aplicada actual para un perímetro, si existe una. Si no existe una versión aplicada del perímetro, se usa la configuración de ejecución de prueba como la configuración inicial aplicada para el perímetro.
Después de actualizar un perímetro de servicio, los cambios pueden tomar hasta 30 minutos en propagarse y surtir efecto. Durante este período, es posible que el perímetro
bloquee las solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Consola
En el menú de navegación de la consola de Google Cloud , haz clic en Seguridady, luego, en Controles del servicio de VPC.
En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.
En la lista de perímetros de servicio, haz clic en el nombre del perímetro de servicio que deseas aplicar.
En la página Detalles del perímetro de servicio, haz clic en Aplicar la configuración.
Cuando se te solicite confirmar que deseas reemplazar tu configuración aplicada actual, haz clic en Confirmar.
gcloud
Puedes usar la herramienta de línea de comandos de gcloud para aplicar la configuración de ejecución de prueba en un perímetro individual y en todos los perímetros de manera simultánea.
Aplica una configuración de ejecución de prueba
A fin de aplicar la configuración de ejecución de prueba para un perímetro único, usa el comando dry-run enforce:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
En el ejemplo anterior, se ilustra lo siguiente:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Aplica todos los parámetros de configuración de la ejecución de prueba
A fin de aplicar la configuración de ejecución de prueba para todos tus perímetros, usa el comando dry-run enforce-all:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
En el ejemplo anterior, se ilustra lo siguiente:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
ETAG es una string que representa la versión de destino de la política de acceso de tu organización. Si no incluyes una ETag, la operación
enforce-allapunta a la última versión de la política de acceso de tu organización.Para obtener la última ETag de la política de acceso,
listtus políticas de acceso.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.
API
A fin de aplicar la configuración de ejecución de prueba para todos tus perímetros, llama a accessPolicies.servicePerimeters.commit.
Actualiza una configuración de ejecución de prueba
Cuando actualizas una configuración de ejecución de prueba, puedes modificar la lista de servicios, proyectos y servicios de VPC accesibles, entre otras funciones del perímetro.
Después de actualizar un perímetro de servicio, los cambios pueden tomar hasta 30 minutos en propagarse y surtir efecto. Durante este período, es posible que el perímetro
bloquee las solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Consola
En el menú de navegación de la consola de Google Cloud , haz clic en Seguridady, luego, en Controles del servicio de VPC.
En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.
En la lista de perímetros de servicio, haz clic en el nombre del perímetro de servicio que deseas editar.
En la página Detalles del perímetro de servicio, haz clic en Editar.
En la página Editar perímetro de servicio, realiza los cambios en la configuración de la prueba de validación del perímetro de servicio.
Haz clic en Guardar.
gcloud
Si deseas agregar proyectos nuevos a un perímetro, usa el comando dry-run update y especifica los recursos que agregarás:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
En el ejemplo anterior, se ilustra lo siguiente:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
RESOURCES es una lista separada por comas de uno o más números de proyectos o nombres de redes de VPC. Por ejemplo:
projects/12345o//compute.googleapis.com/projects/my-project/global/networks/vpc1. Solo se permiten proyectos y redes de VPC. Formato del proyecto:projects/<project_number>. Formato de VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Para actualizar la lista de servicios restringidos, usa el comando dry-run update y especifica los servicios que deseas agregar como una lista delimitada por comas:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
En el ejemplo anterior, se ilustra lo siguiente:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
SERVICES es una lista delimitada por comas de uno o más servicios. Por ejemplo:
storage.googleapis.comostorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME es el nombre de la política de acceso de tu organización. Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Identifica las solicitudes bloqueadas
Después de crear una configuración de prueba de validación, puedes revisar los registros para identificar dónde esta denegaría el acceso a los servicios si se aplicara.
Consola
En el menú de navegación de la consola de Google Cloud , haz clic en Logging y, luego, en Explorador de registros.
En el campo Consultar, ingresa un filtro de consulta como el siguiente y, luego, haz clic en Ejecutar consulta.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Consulta los registros en Resultados de la consulta.
gcloud
Para ver los registros con gcloud CLI, ejecuta un comando como el siguiente:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'