Faça a gestão da segurança para produtores do Private Service Connect

Esta página descreve como os produtores de serviços podem implementar a segurança para organizações e projetos de produtores que usam o Private Service Connect.

As listas de aceitação de consumidores permitem que os proprietários de serviços especifiquem redes ou projetos que se podem ligar a associações de serviços individuais. As políticas da organização também controlam o acesso a anexos de serviços, mas permitem que os administradores de rede controlam amplamente o acesso a todos os anexos de serviços numa organização.

As listas de aceitação de consumidores e as políticas da organização são complementares e podem ser usadas em conjunto. Neste caso, uma ligação do Private Service Connect só é criada se for autorizada por ambos os mecanismos de segurança.

Funções

Para receber as autorizações de que precisa para gerir políticas de organização, peça ao seu administrador que lhe conceda a função de IAM de administrador de políticas de organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Políticas da organização de produtores

Pode usar políticas da organização com a compute.restrictPrivateServiceConnectConsumer restrição de lista para controlar que pontos finais e back-ends podem estabelecer ligação a anexos de serviços do Private Service Connect. Se um ponto final ou um back-end for rejeitado por uma política de organização do produtor, a criação do recurso é bem-sucedida, mas a ligação entra no estado de rejeição.

Para mais informações, consulte as políticas de organização do lado do produtor.

Rejeite ligações de pontos finais e backends não autorizados

Recursos: pontos finais e back-ends

gcloud

  1. Crie um ficheiro temporário denominado /tmp/policy.yaml para armazenar a nova política. Adicione o seguinte conteúdo ao ficheiro:

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    Substitua o seguinte:

    • PRODUCER_ORG: o ID da organização da organização produtora à qual quer controlar o acesso do Private Service Connect do consumidor.
    • CONSUMER_ORG_NUMBER: o ID numérico do recurso da organização do consumidor à qual quer permitir a ligação a anexos de serviços na organização do produtor.

    Para especificar organizações adicionais que se podem ligar a anexos de serviços no seu projeto, inclua entradas adicionais na secção allowedValues.

    Além das organizações, pode especificar pastas e projetos autorizados no seguinte formato:

    • under:folders/FOLDER_ID

      O FOLDER_ID tem de ser o ID numérico.

    • under:projects/PROJECT_ID

      O PROJECT_ID tem de ser o ID da string.

    Por exemplo, o ficheiro seguinte mostra uma configuração da política da organização que rejeita ligações de pontos finais ou back-ends a anexos de serviços em Producer-org-1, a menos que estejam associados a um valor permitido ou a um descendente de um valor permitido. Os valores permitidos são a organização Consumer-org-1, o projeto Consumer-project-1 e a pasta Consumer-folder-1.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. Aplique a política.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Consulte a política em vigor.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Listas de aceitação e rejeição de consumidores

Recursos: pontos finais e back-ends

As listas de aceitação e rejeição de consumidores estão associadas a anexos de serviços. Estas listas permitem-lhe aceitar ou recusar explicitamente ligações de projetos ou redes de consumidores.

Para mais informações, consulte o artigo Listas de aceitação e rejeição de consumidores.

Interação entre listas de aceitação e políticas organizacionais

As listas de aceitação de consumidores e as políticas da organização controlam se é possível estabelecer uma ligação entre dois recursos do Private Service Connect. As ligações são bloqueadas se uma lista de aceitação ou uma política da organização negar a ligação.

Por exemplo, uma política com a restrição restrictPrivateServiceConnectConsumer pode ser configurada para bloquear ligações de fora da organização do produtor. Mesmo que um anexo de serviço esteja configurado para aceitar automaticamente todas as ligações, a política da organização continua a bloquear as ligações provenientes de fora da organização do produtor. Recomendamos que use as listas de aceitação e as políticas da organização em conjunto para ajudar a fornecer segurança em camadas.

Configure listas de aceitação e rejeição

Para ver informações sobre como criar uma nova associação de serviço com listas de aceitação ou rejeição de consumidores, consulte o artigo Publique um serviço com aprovação explícita do projeto.

Para ver informações sobre como atualizar as listas de aceitação ou rejeição de consumidores, consulte o artigo Faça a gestão dos pedidos de acesso a um serviço publicado.