Esta página descreve como pode gerir a configuração de teste de execução para os seus perímetros de serviço. Para ver informações sobre a gestão de perímetros de serviço em geral, consulte o artigo Gerir perímetros de serviço.
Antes de começar
Leia o artigo Vista geral do VPC Service Controls
Leia o modo de execução de ensaio
Defina a sua política de acesso predefinida para usar a ferramenta de linha de comandos
gcloud.-or-
Obtenha o nome da sua política. O nome da política é obrigatório para comandos que usam a ferramenta de linha de comandos
gcloude fazem chamadas API. Se definir uma política de acesso predefinida, não precisa de especificar a política para a ferramenta de linha de comandosgcloud.
Aplicar uma configuração de execução de ensaio
Quando estiver satisfeito com a configuração do teste de execução para um perímetro de serviço, pode aplicar essa configuração. Quando uma configuração de teste é aplicada, substitui a configuração aplicada atual de um perímetro, se existir. Se não existir uma versão aplicada do perímetro, a configuração de teste é usada como a configuração aplicada inicial do perímetro.
Depois de atualizar um perímetro de serviço, a propagação e a entrada em vigor das alterações podem demorar até 30 minutos. Durante este período, o perímetro pode bloquear pedidos com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.
Consola
No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.
Na página VPC Service Controls, clique em Modo de teste.
Na lista de perímetros de serviço, clique no nome do perímetro de serviço que quer aplicar.
Na página Detalhes do perímetro de serviço, clique em Aplicar configuração.
Quando lhe for pedido para confirmar que quer substituir a configuração aplicada existente, clique em Confirmar.
gcloud
Pode usar a ferramenta de linha de comandos gcloud para aplicar a configuração de teste para um perímetro individual, bem como para todos os seus perímetros em simultâneo.
Aplique uma configuração de teste
Para aplicar a configuração de teste de execução para um perímetro único, use o comando
dry-run enforce:
gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
[--policy=POLICY_NAME]
Onde:
PERIMETER_NAME é o nome do perímetro de serviço sobre o qual quer obter detalhes.
POLICY_NAME é o nome da política de acesso da sua organização. Este valor só é obrigatório se não tiver definido uma política de acesso predefinida.
Aplique todas as configurações de teste
Para aplicar a configuração de teste de execução para todos os seus perímetros, use o comando
dry-run enforce-all:
gcloud access-context-manager perimeters dry-run enforce-all \
[--etag=ETAG]
[--policy=POLICY_NAME]
Onde:
PERIMETER_NAME é o nome do perímetro de serviço sobre o qual quer obter detalhes.
ETAG é uma string que representa a versão de destino da política de acesso da sua organização. Se não incluir um etag, a operação
enforce-alltem como destino a versão mais recente da política de acesso da sua organização.Para obter a etag mais recente da sua política de acesso,
listas suas políticas de acesso.POLICY_NAME é o nome da política de acesso da sua organização. Este valor só é obrigatório se não tiver definido uma política de acesso predefinida.
API
Para aplicar a configuração de teste de execução para todos os seus perímetros, chame accessPolicies.servicePerimeters.commit.
Atualizar uma configuração de teste
Quando atualiza uma configuração de teste, pode modificar a lista de serviços, projetos e serviços acessíveis da VPC, entre outras funcionalidades do perímetro.
Depois de atualizar um perímetro de serviço, a propagação e a entrada em vigor das alterações podem demorar até 30 minutos. Durante este período, o perímetro pode bloquear pedidos com a seguinte mensagem de erro: Error 403: Request is prohibited by organization's policy.
Consola
No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.
Na página VPC Service Controls, clique em Modo de teste.
Na lista de perímetros de serviço, clique no nome do perímetro de serviço que quer editar.
Na página Detalhes do perímetro de serviço, clique em Editar.
Na página Editar perímetro de serviço, faça alterações à configuração de teste do perímetro de serviço.
Clique em Guardar.
gcloud
Para adicionar novos projetos a um perímetro, use o comando dry-run update e especifique os recursos a adicionar:
gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
--add-resources=RESOURCES \
[--policy=POLICY_NAME]
Onde:
PERIMETER_NAME é o nome do perímetro de serviço sobre o qual quer obter detalhes.
RESOURCES é uma lista separada por vírgulas de um ou mais números de projetos ou nomes de redes VPC. Por exemplo:
projects/12345ou//compute.googleapis.com/projects/my-project/global/networks/vpc1. Apenas são permitidos projetos e redes de VPC. Formato do projeto:projects/<project_number>. Formato de VPC://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.POLICY_NAME é o nome da política de acesso da sua organização. Este valor só é obrigatório se não tiver definido uma política de acesso predefinida.
Para atualizar a lista de serviços restritos, use o comando dry-run update e especifique os serviços a adicionar como uma lista delimitada por vírgulas:
gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
--add-restricted-services=SERVICES \
[--policy=POLICY_NAME]
Onde:
PERIMETER_NAME é o nome do perímetro de serviço sobre o qual quer obter detalhes.
SERVICES é uma lista delimitada por vírgulas de um ou mais serviços. Por exemplo:
storage.googleapis.comoustorage.googleapis.com,bigquery.googleapis.com.POLICY_NAME é o nome da política de acesso da sua organização. Este valor só é obrigatório se não tiver definido uma política de acesso predefinida.
Identificar pedidos bloqueados
Depois de criar uma configuração de teste, pode rever os registos para identificar onde a configuração de teste negaria o acesso aos serviços se fosse aplicada.
Consola
No menu de navegação da Google Cloud consola, clique em Registo e, de seguida, clique em Explorador de registos.
No campo Consulta, introduza um filtro de consulta como o seguinte, e, de seguida, clique em Executar consulta.
log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"Veja os registos em Resultados da consulta.
gcloud
Para ver registos através da CLI gcloud, execute um comando como o seguinte:
gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'