ניהול האבטחה של בעלי שירותים מנוהלים ב-Private Service Connect
בדף הזה מוסבר איך ספקי שירות יכולים להטמיע אבטחה בארגונים ובפרויקטים של ספקים שמשתמשים ב-Private Service Connect.
רשימות ההיתרים של הצרכנים מאפשרות לבעלי שירותים לציין רשתות או פרויקטים שיכולים להתחבר לנקודות חיבור לשירותים ספציפיות. כללי מדיניות הארגון שולטים גם בגישה לצירופי שירות, אבל הם מאפשרים לאדמינים של הרשת לשלוט בגישה לכל צירופי השירות בארגון.
רשימות ההסכמה של הצרכנים ומדיניות הארגון משלימות זו את זו ואפשר להשתמש בהן יחד. במקרה כזה, חיבור Private Service Connect נוצר רק אם הוא אושר על ידי שני מנגנוני האבטחה האלה.
תפקידים
כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Organization policy administrator (אדמין של מדיניות הארגון) (roles/orgpolicy.policyAdmin) בארגון.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
מדיניות הארגון של המפיק
אתם יכולים להשתמש במדיניות ארגונית עם compute.restrictPrivateServiceConnectConsumer
אילוץ הרשימה כדי לשלוט בנקודות הקצה ובבק-אנדים שיכולים להתחבר לצירופי שירות של Private Service Connect. אם נקודת קצה או קצה עורפי נדחים על ידי מדיניות הארגון של הספק, יצירת המשאב מצליחה, אבל החיבור עובר למצב 'נדחה'.
מידע נוסף זמין במאמר בנושא מדיניות הארגון בצד המפיק.
דחיית חיבורים מנקודות קצה ומשרתי קצה לא מורשים
מקורות מידע: נקודות קצה ועורפי קצה
gcloud
יוצרים קובץ זמני בשם
/tmp/policy.yamlכדי לאחסן את המדיניות החדשה. מוסיפים את התוכן הבא לקובץ:name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/CONSUMER_ORG_NUMBERמחליפים את מה שכתוב בשדות הבאים:
-
PRODUCER_ORG: מזהה הארגון של ארגון ההפקה שרוצים לשלוט בגישה של הצרכן ל-Private Service Connect. -
CONSUMER_ORG_NUMBER: מזהה המשאב המספרי של ארגון הצרכן שרוצים לאפשר לו להתחבר ל-Service Attachments בארגון היצרן.
כדי לציין ארגונים נוספים שיכולים להתחבר ל-Service Attachments בפרויקט, צריך לכלול רשומות נוספות בקטע
allowedValues.בנוסף לארגונים, אפשר לציין תיקיות ופרויקטים מורשים בטופס הבא:
under:folders/FOLDER_IDהערך של
FOLDER_IDחייב להיות מזהה מספרי.under:projects/PROJECT_IDהערך
PROJECT_IDצריך להיות מזהה המחרוזת.
לדוגמה, בקובץ הבא מוצגת הגדרה של מדיניות הארגון שדוחה חיבורים מנקודות קצה או משרתי קצה לחיבורי שירות ב-
Producer-org-1, אלא אם הם משויכים לערך מותר או לצאצא של ערך מותר. הערכים המותרים הם הארגוןConsumer-org-1, הפרויקטConsumer-project-1והתיקייהConsumer-folder-1.name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/Consumer-org-1 - under:projects/Consumer-project-1 - under:folders/Consumer-folder-1-
מחילים את המדיניות.
gcloud org-policies set-policy /tmp/policy.yaml
צפייה במדיניות שבתוקף.
gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \ --effective \ --organization=PRODUCER_ORG
רשימות של צרכנים שאושרו ונדחו
מקורות מידע: נקודות קצה ועורפי קצה
רשימות של צרכנים שמקבלים או דוחים את השירות משויכות לחיבורי שירות. הרשימות האלה מאפשרות לכם לאשר או לדחות באופן מפורש חיבורים מפרויקטים או מרשתות של צרכנים.
מידע נוסף זמין במאמר בנושא רשימות של משתמשים שאישרו או דחו את הגישה.
אינטראקציה בין רשימות של כתובות שאפשר לשלוח מהן לבין מדיניות ארגונית
גם רשימות של צרכנים שאפשר לקבל מהם בקשות וגם מדיניות ארגונית קובעות אם אפשר ליצור חיבור בין שני משאבי Private Service Connect. החיבורים נחסמים אם רשימת ההיתרים או מדיניות הארגון דוחות את החיבור.
לדוגמה, אפשר להגדיר מדיניות עם האילוץ restrictPrivateServiceConnectConsumer כדי לחסום חיבורים מחוץ לארגון של היוצר. גם אם מצורף שירות מוגדר לקבל באופן אוטומטי את כל החיבורים, מדיניות הארגון עדיין חוסמת חיבורים מחוץ לארגון של היצרן. מומלץ להשתמש גם ברשימות של כתובות שאושרו וגם במדיניות הארגון כדי לספק אבטחה בשכבות.
הגדרת רשימות אישור ודחייה
במאמר פרסום שירות עם אישור פרויקט מפורש מוסבר איך ליצור קובץ מצורף חדש לשירות עם רשימות של צרכנים שאושרו או נדחו.
מידע על עדכון רשימות של צרכנים שאושרו או נדחו זמין במאמר ניהול בקשות לגישה לשירות שפורסם.