Questa pagina descrive come gestire i perimetri di servizio nei Controlli di servizio VPC. Per informazioni dettagliate sulla creazione di nuovi perimetri di servizio, consulta Creazione di perimetri di servizio.
Questa pagina include le seguenti sezioni:
Prima di iniziare
Leggi la Panoramica dei Controlli di servizio VPC.
Imposta la policy di accesso predefinita per l'utilizzo dello strumento a riga di comando
gcloud.-oppure-
Recupera il nome della policy. Il nome della policy è obbligatorio per i comandi che utilizzano lo strumento a riga di comando
gcloude per effettuare chiamate API. Se imposti una policy di accesso predefinita, non è necessario specificare la policy per lo strumento a riga di comandogcloud.
Elenca e descrivi i perimetri di servizio
Elenca tutti i perimetri di servizio in un'organizzazione:
Console
Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro di servizio che vuoi visualizzare nella tabella.
gcloud
Per elencare i perimetri di servizio della tua organizzazione, utilizza il comando list:
gcloud access-context-manager perimeters list
Dovresti vedere un elenco dei perimetri della tua organizzazione. Ad esempio:
NAME TITLE ETAG ProdPerimeter Production Perimeter abcdefg123456789
Per visualizzare i dettagli su un perimetro di servizio, utilizza il comando describe:
gcloud access-context-manager perimeters \
describe PERIMETER_ID
Sostituisci quanto segue:
- PERIMETER_ID è l'ID del perimetro di servizio di cui vuoi ottenere i dettagli.
Dovresti visualizzare i dettagli sul perimetro. Ad esempio:
etag: abcdefg123456789 name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter status: accessLevels: - accessPolicies/626111171578/accessLevels/corpAccess resources: - projects/111584792408 restrictedServices: - bigquery.googleapis.com - storage.googleapis.com title: Production Perimeter
Elenca i perimetri di servizio (formattati)
Con lo strumento a riga di comando gcloud puoi ottenere un elenco dei tuoi perimetri di servizio in formato YAML o JSON.
Per ottenere un elenco formattato dei perimetri, utilizza il comando list:
gcloud access-context-manager perimeters list \ --format=FORMAT
Sostituisci quanto segue:
FORMAT è uno dei seguenti valori:
list(formato YAML)json(formato JSON)
L'output seguente è un elenco di esempio in formato YAML:
- etag: abcdefg123456789 name: accessPolicies/165717541651/servicePerimeters/On_Prem status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']} title: On Prem - etag: hijklmn987654321 name: accessPolicies/165717541651/servicePerimeters/Private spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']} status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']} title: Private useExplicitDryRunSpec: True - etag: pqrstuv123456789 name: accessPolicies/165717541651/servicePerimeters/OnpremBridge perimeterType: PERIMETER_TYPE_BRIDGE status: {'resources': ['projects/167410821371']} title: OnpremBridge
L'output seguente è un elenco di esempio in formato JSON:
[ { "etag": "abcdefg123456789", "name": "accessPolicies/165717541651/servicePerimeters/On_Prem", "status": { "resources": [ "projects/167410821371" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com" ] }, "title": "On Prem" }, { "etag": "hijklmn987654321", "name": "accessPolicies/165717541651/servicePerimeters/Private", "spec": { "resources": [ "projects/136109111311" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com", "logging.googleapis.com" ] }, "status": { "resources": [ "projects/136109111311", "projects/401921913171" ], "restrictedServices": [ "bigquery.googleapis.com" ] }, "title": "Private", "useExplicitDryRunSpec": true }, { "etag": "pqrstuv123456789", "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge", "perimeterType": "PERIMETER_TYPE_BRIDGE", "status": { "resources": [ "projects/167410821371" ] }, "title": "OnpremBridge" } ]
Aggiorna un perimetro di servizio
Questa sezione descrive come aggiornare i singoli perimetri di servizio. Per aggiornare tutti i perimetri di servizio della tua organizzazione in un'unica operazione, vedi Modifica collettiva dei perimetri di servizio.
Per aggiornare un perimetro di servizio, puoi eseguire le seguenti attività:
- Aggiungere nuovi progetti Google Cloud o rimuovere progetti da un perimetro di servizio.
- Modificare l'elenco dei servizi Google Cloud limitati. Puoi anche modificare il titolo e la descrizione di un perimetro di servizio.
- Attivare, aggiungere, rimuovere o disattivare i servizi accessibili da VPC.
- Aggiornare le policy in entrata e in uscita.
Dopo aver aggiornato un perimetro di servizio, la propagazione e l'applicazione delle modifiche potrebbero richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro di servizio che vuoi modificare nella tabella.
Nella pagina Dettagli del perimetro di servizio, fai clic su Modifica.
Nella pagina Modifica perimetro di servizio, aggiorna il perimetro di servizio.
Fai clic su Salva.
gcloud
Per aggiungere nuove risorse a un perimetro, utilizza il comando update e specifica le
risorse da aggiungere:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-resources=RESOURCES
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio di cui vuoi ottenere i dettagli.
RESOURCES è un elenco separato da virgole di uno o più numeri di progetto o nomi di reti VPC. Ad esempio,
projects/12345o//compute.googleapis.com/projects/my-project/global/networks/vpc1. Sono consentiti solo progetti e reti VPC. Formato progetto:projects/project_number. Formato VPC://compute.googleapis.com/projects/project-id/global/networks/network_name.
Per aggiornare l'elenco dei servizi limitati, utilizza il comando update e
specifica i servizi da aggiungere come elenco delimitato da virgole:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-restricted-services=SERVICES
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio di cui vuoi ottenere i dettagli.
SERVICES è un elenco delimitato da virgole di uno o più servizi. Ad esempio,
storage.googleapis.comostorage.googleapis.com,bigquery.googleapis.com.
Aggiungi un livello di accesso a un perimetro esistente
Dopo aver creato un livello di accesso, puoi applicarlo a un perimetro di servizio per controllare l'accesso.
Dopo aver aggiornato un perimetro di servizio, la propagazione e l'applicazione delle modifiche potrebbero richiedere fino a 30 minuti. Durante questo periodo, il perimetro potrebbe bloccare le richieste con il seguente messaggio di errore: Error 403: Request is prohibited by organization's policy.
Console
Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro di servizio che vuoi modificare nella tabella.
Nella pagina Dettagli del perimetro di servizio, fai clic su Modifica.
Nella pagina Modifica perimetro di servizio, fai clic su Livelli di accesso.
Fai clic su Aggiungi livelli di accesso.
Nel riquadro Aggiungi livelli di accesso, seleziona le caselle di controllo corrispondenti ai livelli di accesso che vuoi applicare al perimetro di servizio.
Fai clic su Aggiungi i livelli di accesso selezionati.
Fai clic su Salva.
gcloud
Per aggiungere un livello di accesso a un perimetro di servizio esistente, utilizza il comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-access-levels=LEVEL_NAME
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio.
LEVEL_NAME è il nome del livello di accesso che vuoi aggiungere al perimetro.
Per saperne di più sull'utilizzo dei livelli di accesso con un perimetro, consulta Consenti l'accesso a risorse protette dall'esterno di un perimetro.
Elimina un perimetro di servizio
Quando elimini un perimetro di servizio, i controlli di sicurezza associati al perimetro non si applicano più ai progetti Google Cloud associati. Non ci sono altri effetti sui progetti Google Cloud o sulle risorse associate del membro.
Console
Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, nella riga della tabella corrispondente al perimetro che vuoi eliminare, fai clic su .
gcloud
Per eliminare un perimetro di servizio, utilizza il comando delete:
gcloud access-context-manager perimeters delete PERIMETER_ID
Sostituisci quanto segue:
- PERIMETER_ID è l'ID del perimetro di servizio.
Limita l'accesso ai servizi all'interno di un perimetro con i servizi accessibili da VPC
Questa sezione descrive come attivare, aggiungere, rimuovere e disattivare servizi accessibili da VPC.
Puoi utilizzare la funzionalità dei servizi accessibili da VPC per limitare l'insieme di servizi accessibili dagli endpoint di rete che si trovano all'interno del perimetro di servizio. Puoi aggiungere servizi accessibili da VPC ai perimetri di servizio, ma non ai bridge del perimetro.
Per saperne di più sulla funzionalità dei servizi accessibili da VPC, consulta Servizi accessibili da VPC.
Abilita i servizi accessibili da VPC
Per abilitare i servizi accessibili da VPC per il perimetro di servizio, utilizza il comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=SERVICES
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio.
SERVICES è un elenco separato da virgole di uno o più servizi a cui vuoi consentire l'accesso dalle reti all'interno del tuo perimetro. L'accesso a tutti i servizi non inclusi in questo elenco è impedito.
Per includere rapidamente i servizi protetti dal perimetro, aggiungi
RESTRICTED-SERVICESall'elenco SERVICES. Puoi includere altri servizi oltre aRESTRICTED-SERVICES.
Ad esempio, per assicurarti che le reti VPC nel perimetro abbiano accesso solo ai servizi Logging e Cloud Storage, utilizza questo comando:
gcloud access-context-manager perimeters update example_perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
--policy=11271009391
Aggiungi un servizio ai servizi accessibili da VPC
Per aggiungere servizi aggiuntivi ai servizi accessibili da VPC per il tuo perimetro, utilizza il comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-vpc-allowed-services=SERVICES
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio.
SERVICES è un elenco separato da virgole di uno o più servizi a cui vuoi consentire l'accesso dalle reti all'interno del tuo perimetro.
Per includere rapidamente i servizi protetti dal perimetro, aggiungi
RESTRICTED-SERVICESall'elenco SERVICES. Puoi includere servizi separati oltre aRESTRICTED-SERVICES.
Ad esempio, se abiliti i servizi accessibili da VPC e hai bisogno che le reti VPC nel perimetro abbiano accesso al servizio Pub/Sub, utilizza il seguente comando:
gcloud access-context-manager perimeters update example_perimeter \
--add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
--policy=11271009391
Rimuovi un servizio dai servizi accessibili da VPC
Per rimuovere servizi dai servizi accessibili da VPC per il perimetro di servizio, utilizza il comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--remove-vpc-allowed-services=SERVICES
Sostituisci quanto segue:
PERIMETER_ID è l'ID del perimetro di servizio.
SERVICES è un elenco separato da virgole di uno o più servizi che vuoi rimuovere dall'elenco dei servizi a cui le reti all'interno del perimetro di servizio possono accedere.
Ad esempio, se abiliti i servizi accessibili da VPC e non vuoi più che le reti VPC nel perimetro abbiano accesso al servizio Cloud Storage, utilizza il seguente comando:
gcloud access-context-manager perimeters update example_perimeter \
--remove-vpc-allowed-services=storage.googleapis.com \
--policy=11271009391
Disattiva i servizi accessibili da VPC
Per disattivare le limitazioni del servizio VPC per il tuo perimetro di servizio, utilizza il comando update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services
Sostituisci quanto segue:
- PERIMETER_ID è l'ID del perimetro di servizio.
Ad esempio, per disattivare le limitazioni del servizio VPC per example_perimeter, utilizza il seguente comando:
gcloud access-context-manager perimeters update example_perimeter \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
--policy=11271009391
Servizi accessibili da VPC e API Gestore contesto accesso
Puoi anche utilizzare l'API Gestore contesto accesso per gestire i servizi accessibili da VPC.
Quando crei o modifichi un perimetro di servizio, utilizza l'oggetto ServicePerimeterConfig nel corpo della risposta per configurare i servizi accessibili da VPC.