Halaman ini menjelaskan cara mengelola perimeter layanan di Kontrol Layanan VPC. Untuk mengetahui detail tentang cara membuat perimeter layanan baru, lihat Membuat perimeter layanan.
Halaman ini mencakup bagian-bagian berikut:
Sebelum memulai
Tetapkan kebijakan akses default Anda untuk menggunakan alat command line
gcloud.-atau-
Dapatkan nama kebijakan Anda. Nama kebijakan diperlukan untuk perintah yang menggunakan alat command line
gclouddan melakukan panggilan API. Jika Anda menetapkan kebijakan akses default, Anda tidak perlu menentukan kebijakan untuk alat command linegcloud.
Mencantumkan dan mendeskripsikan perimeter layanan
Mencantumkan semua perimeter layanan dalam organisasi:
Konsol
Di bagian Navigation menu pada konsol Google Cloud , klik Security, lalu klik VPC Service Controls.
Di halaman VPC Service Controls, pada tabel yang ada, klik nama perimeter layanan yang ingin Anda lihat.
gcloud
Untuk mencantumkan perimeter layanan organisasi Anda, gunakan perintah list:
gcloud access-context-manager perimeters list
Anda akan melihat daftar perimeter untuk organisasi Anda. Contoh:
NAME TITLE ETAG ProdPerimeter Production Perimeter abcdefg123456789
Untuk melihat detail tentang perimeter layanan, gunakan perintah describe:
gcloud access-context-manager perimeters \
describe PERIMETER_ID
Ganti kode berikut:
- PERIMETER_ID adalah ID perimeter layanan yang ingin Anda dapatkan detailnya.
Anda akan melihat detail tentang perimeter. Contoh:
etag: abcdefg123456789 name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter status: accessLevels: - accessPolicies/626111171578/accessLevels/corpAccess resources: - projects/111584792408 restrictedServices: - bigquery.googleapis.com - storage.googleapis.com title: Production Perimeter
Mencantumkan perimeter layanan (diformat)
Dengan alat command line gcloud, Anda dapat memperoleh daftar perimeter layanan dalam format YAML atau
JSON.
Untuk mendapatkan daftar perimeter yang diformat, gunakan perintah list:
gcloud access-context-manager perimeters list \ --format=FORMAT
Ganti kode berikut:
FORMAT adalah salah satu nilai berikut:
list(format YAML)json(format JSON)
Output berikut adalah contoh daftar dalam format YAML:
- etag: abcdefg123456789 name: accessPolicies/165717541651/servicePerimeters/On_Prem status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']} title: On Prem - etag: hijklmn987654321 name: accessPolicies/165717541651/servicePerimeters/Private spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']} status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']} title: Private useExplicitDryRunSpec: True - etag: pqrstuv123456789 name: accessPolicies/165717541651/servicePerimeters/OnpremBridge perimeterType: PERIMETER_TYPE_BRIDGE status: {'resources': ['projects/167410821371']} title: OnpremBridge
Output berikut adalah contoh daftar dalam format JSON:
[ { "etag": "abcdefg123456789", "name": "accessPolicies/165717541651/servicePerimeters/On_Prem", "status": { "resources": [ "projects/167410821371" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com" ] }, "title": "On Prem" }, { "etag": "hijklmn987654321", "name": "accessPolicies/165717541651/servicePerimeters/Private", "spec": { "resources": [ "projects/136109111311" ], "restrictedServices": [ "bigquery.googleapis.com", "storage.googleapis.com", "logging.googleapis.com" ] }, "status": { "resources": [ "projects/136109111311", "projects/401921913171" ], "restrictedServices": [ "bigquery.googleapis.com" ] }, "title": "Private", "useExplicitDryRunSpec": true }, { "etag": "pqrstuv123456789", "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge", "perimeterType": "PERIMETER_TYPE_BRIDGE", "status": { "resources": [ "projects/167410821371" ] }, "title": "OnpremBridge" } ]
Memperbarui perimeter layanan
Bagian ini menjelaskan cara memperbarui perimeter layanan satu per satu. Untuk memperbarui semua perimeter layanan organisasi Anda dalam satu operasi, lihat Melakukan perubahan massal pada perimeter layanan.
Anda dapat melakukan tugas berikut untuk memperbarui perimeter layanan:
- Menambahkan project Google Cloud baru atau menghapus project dari perimeter layanan.
- Mengubah daftar layanan Google Cloud yang dibatasi. Anda juga dapat mengubah judul dan deskripsi perimeter layanan.
- Mengaktifkan, menambahkan, menghapus, atau menonaktifkan layanan yang dapat diakses VPC.
- Memperbarui kebijakan traffic ingress dan egress.
Setelah Anda memperbarui perimeter layanan, perlu waktu hingga 30 menit agar
perubahan dapat diterapkan dan berlaku. Selama waktu ini, perimeter dapat memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di bagian Navigation menu pada konsol Google Cloud , klik Security, lalu klik VPC Service Controls.
Di halaman VPC Service Controls, pada tabel yang ada, klik nama perimeter layanan yang ingin Anda ubah.
Di halaman Service perimeter details, klik Edit.
Di halaman Edit service perimeter, perbarui perimeter layanan.
Klik Save.
gcloud
Untuk menambahkan resource baru ke perimeter, gunakan perintah update dan tentukan
resource yang akan ditambahkan:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-resources=RESOURCES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan yang ingin Anda dapatkan detailnya.
RESOURCES adalah daftar satu atau beberapa nomor project atau nama jaringan VPC yang dipisahkan koma. Contoh:
projects/12345atau//compute.googleapis.com/projects/my-project/global/networks/vpc1. Hanya project dan jaringan VPC yang diizinkan. Format project:projects/project_number. Format VPC://compute.googleapis.com/projects/project-id/global/networks/network_name.
Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah update dan
tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-restricted-services=SERVICES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan yang ingin Anda dapatkan detailnya.
SERVICES adalah daftar satu atau beberapa layanan yang dipisahkan koma. Contoh:
storage.googleapis.comataustorage.googleapis.com,bigquery.googleapis.com.
Menambahkan tingkat akses ke perimeter yang ada
Setelah membuat tingkat akses, Anda dapat menerapkannya ke perimeter layanan untuk mengontrol akses.
Setelah Anda memperbarui perimeter layanan, perlu waktu hingga 30 menit agar
perubahan dapat diterapkan dan berlaku. Selama waktu ini, perimeter dapat memblokir
permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.
Konsol
Di bagian Navigation menu pada konsol Google Cloud , klik Security, lalu klik VPC Service Controls.
Di halaman VPC Service Controls, pada tabel yang ada, klik nama perimeter layanan yang ingin Anda ubah.
Di halaman Service perimeter details, klik Edit.
Di halaman Edit service perimeter, klik Access levels.
Klik Add access levels.
Di panel Add access level, centang kotak yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter layanan.
Klik Add selected access levels.
Klik Save.
gcloud
Untuk menambahkan tingkat akses ke perimeter layanan yang ada, gunakan
perintah update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-access-levels=LEVEL_NAME
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
LEVEL_NAME adalah nama tingkat akses yang ingin Anda tambahkan ke perimeter.
Untuk mengetahui informasi selengkapnya tentang cara menggunakan tingkat akses dengan perimeter, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.
Menghapus perimeter layanan
Saat Anda menghapus perimeter layanan, kontrol keamanan yang berkaitan dengan perimeter tidak lagi berlaku untuk project Google Cloud terkait. Tidak ada dampak lain pada project Google Cloud anggota atau resource terkait.
Konsol
Di bagian Navigation menu pada konsol Google Cloud , klik Security, lalu klik VPC Service Controls.
Di halaman VPC Service Controls, di baris tabel yang sesuai dengan perimeter yang ingin Anda hapus, klik .
gcloud
Untuk menghapus perimeter layanan, gunakan perintah delete:
gcloud access-context-manager perimeters delete PERIMETER_ID
Ganti kode berikut:
- PERIMETER_ID adalah ID perimeter layanan Anda.
Membatasi akses ke layanan di dalam perimeter dengan layanan yang dapat diakses VPC
Bagian ini menjelaskan cara mengaktifkan, menambahkan, menghapus, dan menonaktifkan layanan yang dapat diakses VPC.
Anda dapat menggunakan fitur layanan yang dapat diakses VPC untuk membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda. Anda dapat menambahkan layanan yang dapat diakses VPC ke perimeter layanan, tetapi tidak ke perantara perimeter.
Untuk mempelajari lebih lanjut fitur layanan yang dapat diakses VPC, baca tentang Layanan yang dapat diakses VPC.
Mengaktifkan layanan yang dapat diakses VPC
Untuk mengaktifkan layanan yang dapat diakses VPC untuk perimeter layanan Anda, gunakan
perintah update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=SERVICES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar satu atau beberapa layanan yang dipisahkan koma yang ingin Anda izinkan aksesnya oleh jaringan di dalam perimeter Anda. Akses ke layanan apa pun yang tidak disertakan dalam daftar ini akan dicegah.
Untuk menyertakan layanan yang dilindungi oleh perimeter dengan cepat, tambahkan
RESTRICTED-SERVICESke daftar untuk SERVICES. Anda dapat menyertakan layanan lain selainRESTRICTED-SERVICES.
Misalnya, untuk memastikan bahwa jaringan VPC di perimeter Anda hanya memiliki akses ke layanan Logging dan Cloud Storage, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
--policy=11271009391
Menambahkan layanan ke layanan yang dapat diakses VPC
Untuk menambahkan layanan tambahan ke layanan yang dapat diakses VPC untuk
perimeter Anda, gunakan perintah update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--add-vpc-allowed-services=SERVICES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar satu atau beberapa layanan yang dipisahkan koma yang ingin Anda izinkan aksesnya oleh jaringan di dalam perimeter Anda.
Untuk menyertakan layanan yang dilindungi oleh perimeter dengan cepat, tambahkan
RESTRICTED-SERVICESke daftar untuk SERVICES. Anda dapat menyertakan layanan terpisah selainRESTRICTED-SERVICES.
Misalnya, jika Anda mengaktifkan layanan yang dapat diakses VPC dan mewajibkan jaringan VPC di perimeter Anda memiliki akses ke layanan Pub/Sub, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
--policy=11271009391
Menghapus layanan dari layanan yang dapat diakses VPC
Untuk menghapus layanan dari layanan yang dapat diakses VPC untuk perimeter layanan Anda,
gunakan perintah update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--remove-vpc-allowed-services=SERVICES
Ganti kode berikut:
PERIMETER_ID adalah ID perimeter layanan Anda.
SERVICES adalah daftar satu atau beberapa layanan yang dipisahkan koma yang ingin Anda hapus dari daftar layanan yang diizinkan untuk diakses oleh jaringan di dalam perimeter layanan Anda.
Misalnya, jika Anda mengaktifkan layanan yang dapat diakses VPC dan tidak ingin lagi jaringan VPC di perimeter Anda memiliki akses ke layanan Cloud Storage, gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--remove-vpc-allowed-services=storage.googleapis.com \
--policy=11271009391
Menonaktifkan layanan yang dapat diakses VPC
Untuk menonaktifkan batasan layanan VPC untuk perimeter layanan Anda, gunakan
perintah update:
gcloud access-context-manager perimeters update PERIMETER_ID \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services
Ganti kode berikut:
- PERIMETER_ID adalah ID perimeter layanan Anda.
Misalnya, untuk menonaktifkan batasan layanan VPC untuk example_perimeter,
gunakan perintah berikut:
gcloud access-context-manager perimeters update example_perimeter \
--no-enable-vpc-accessible-services \
--clear-vpc-allowed-services \
--policy=11271009391
Layanan yang dapat diakses VPC dan Access Context Manager API
Anda juga dapat menggunakan Access Context Manager API untuk mengelola layanan yang dapat diakses VPC.
Saat Anda membuat atau mengubah perimeter layanan, gunakan
objek ServicePerimeterConfig di isi respons untuk
mengonfigurasi layanan yang dapat diakses VPC.