Per definire i servizi a cui è possibile accedere da una rete all'interno del perimetro di servizio, utilizza la funzionalità Servizi accessibili da VPC, che consente di limitare l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio.
La funzionalità Servizi accessibili da VPC si applica solo al traffico dagli endpoint di rete VPC alle API di Google. A differenza dei perimetri di servizio, la funzionalità Servizi accessibili da VPC non si applica alle comunicazioni da un'API di Google a un'altra o alle reti delle unità di tenancy, che vengono utilizzate per implementare determinati servizi Google Cloud .
Quando configuri i servizi accessibili da VPC per un perimetro, puoi specificare un elenco di singoli servizi, nonché includere il valore RESTRICTED-SERVICES, che include automaticamente tutti i servizi protetti dal perimetro.
Per assicurarti che l'accesso ai servizi previsti sia completamente limitato, devi:
Configurare il perimetro in modo che protegga lo stesso insieme di servizi che vuoi rendere accessibili.
Configurare i VPC nel perimetro in modo che utilizzino il VIP limitato.
Utilizzare firewall di livello 3.
Esempio: rete VPC con accesso solo a Cloud Storage
Supponiamo che un perimetro di servizio my-authorized-perimeter includa due progetti: my-authorized-compute-project e my-authorized-gcs-project.
Il perimetro protegge il servizio Cloud Storage.
my-authorized-gcs-project utilizza una serie di servizi, tra cui
Cloud Storage, Bigtable e altri.
my-authorized-compute-project ospita una rete VPC.
Poiché i due progetti condividono un perimetro, la rete VPC in
my-authorized-compute-project ha accesso alle risorse dei servizi in
my-authorized-gcs-project, indipendentemente dal fatto che il perimetro protegga questi
servizi. Tuttavia, vuoi che la tua rete VPC abbia accesso solo alle risorse Cloud Storage in my-authorized-gcs-project.
Ti preoccupa il fatto che, qualora le credenziali di una VM nella tua rete VPC vengano rubate, un utente malintenzionato potrebbe sfruttare la VM per sottrarre dati da qualsiasi servizio disponibile in my-authorized-gcs-project.
Hai già configurato la tua rete VPC in modo da utilizzare il VIP con accesso limitato, in modo che l'accesso dalla tua rete VPC sia riservato solo alle API supportate da Controlli di servizio VPC. Purtroppo, ciò non impedisce alla rete VPC
di accedere ai servizi supportati, come le risorse Bigtable
in my-authorized-gcs-project.
Per limitare l'accesso della rete VPC solo al servizio di archiviazione, attiva i servizi accessibili da VPC e imposta storage.googleapis.com come servizio consentito:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Perfetto. La rete VPC in my-authorized-compute-project ora è limitata e possono accedere solo le risorse per il servizio Cloud Storage. Questa limitazione si applica anche a eventuali progetti e reti VPC che aggiungi in un secondo momento al perimetro.