Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Gestire la sicurezza per i producer di Private Service Connect

Questa pagina descrive come i producer di servizi possono implementare la sicurezza per le organizzazioni e i progetti producer che utilizzano Private Service Connect.

Gli elenchi di accettazione dei consumer consentono ai proprietari dei servizi di specificare le reti o i progetti che possono connettersi ai singoli collegamenti di servizio. Anche le policy dell'organizzazione controllano l'accesso ai collegamenti di servizio, ma consentono agli amministratori di rete di controllare in modo ampio l'accesso a tutti i collegamenti di servizio di un'organizzazione.

Gli elenchi di accettazione dei consumer e le policy dell'organizzazione sono complementari e possono essere utilizzati insieme. In questo caso, una connessione Private Service Connect viene creata solo se è autorizzata da entrambi questi meccanismi di sicurezza.

Ruoli

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Policy dell'organizzazione producer

Puoi utilizzare le policy dell'organizzazione con il compute.restrictPrivateServiceConnectConsumer vincolo di elenco per controllare quali endpoint e backend possono connettersi ai collegamenti di servizio Private Service Connect. Se un endpoint o un backend viene rifiutato da una policy dell'organizzazione producer, la creazione della risorsa ha esito positivo, ma la connessione passa allo stato rifiutato.

Per saperne di più, consulta Policy dell'organizzazione lato producer.

Rifiutare le connessioni da endpoint e backend non autorizzati

Risorse: endpoint e backend

gcloud

Crea un file temporaneo denominato /tmp/policy.yaml per archiviare la nuova policy. Aggiungi i seguenti contenuti al file:
```
name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER
```
Sostituisci quanto segue:
- PRODUCER_ORG: l' ID organizzazione dell'organizzazione producer di cui vuoi controllare l'accesso Private Service Connect dei consumer.
- CONSUMER_ORG_NUMBER: l'ID risorsa numerico dell'organizzazione consumer a cui vuoi consentire di connettersi ai collegamenti di servizio nell'organizzazione producer.
Per specificare altre organizzazioni che possono connettersi ai collegamenti di servizio nel tuo progetto, includi voci aggiuntive nella sezione allowedValues.

Oltre alle organizzazioni, puoi specificare cartelle e progetti autorizzati nel seguente formato:
- under:folders/FOLDER_ID
  
  L'elemento FOLDER_ID deve essere l'ID numerico.
- under:projects/PROJECT_ID
  
  L'elemento PROJECT_ID deve essere l'ID stringa.
Ad esempio, il seguente file mostra una configurazione della policy dell'organizzazione che rifiuta le connessioni da endpoint o backend ai collegamenti di servizio in Producer-org-1, a meno che non siano associati a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazione Consumer-org-1, il progetto Consumer-project-1 e la cartella Consumer-folder-1.
```
name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1
```

Applica la policy.

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza la policy in vigore.

gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Elenchi di accettazione e rifiuto dei consumer

Risorse: endpoint e backend

Gli elenchi di accettazione e rifiuto dei consumer sono associati ai collegamenti di servizio. Questi elenchi ti consentono di accettare o negare esplicitamente le connessioni da progetti o reti consumer.

Per saperne di più, consulta Elenchi di accettazione e rifiuto dei consumer.

Interazione tra elenchi di accettazione e policy dell'organizzazione

Sia gli elenchi di accettazione dei consumer sia le policy dell'organizzazione controllano se è possibile stabilire una connessione tra due risorse Private Service Connect. Le connessioni vengono bloccate se un elenco di accettazione o una policy dell'organizzazione nega la connessione.

Ad esempio, una policy con il vincolo restrictPrivateServiceConnectConsumer può essere configurata per bloccare le connessioni provenienti dall'esterno dell'organizzazione del producer. Anche se un collegamento di servizio è configurato per accettare automaticamente tutte le connessioni, la policy dell'organizzazione blocca comunque le connessioni provenienti dall'esterno dell'organizzazione del producer. Ti consigliamo di utilizzare sia gli elenchi di accettazione sia le policy dell'organizzazione per fornire una sicurezza a più livelli.

Configurare gli elenchi di accettazione e rifiuto

Per informazioni su come creare un nuovo collegamento di servizio con elenchi di accettazione o rifiuto dei consumer, consulta Pubblicare un servizio con l'approvazione esplicita del progetto.

Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto dei consumer, consulta Gestire le richieste di accesso a un servizio pubblicato.