Faça a gestão da segurança para produtores do Private Service Connect

Esta página descreve como os produtores de serviços podem implementar a segurança para organizações e projetos de produtores que usam o Private Service Connect.

As listas de aceitação de consumidores permitem que os proprietários de serviços especifiquem redes ou projetos que podem estabelecer ligação a associações de serviços individuais. As políticas da organização também controlam o acesso a anexos de serviços, mas permitem que os administradores de rede controlem amplamente o acesso a todos os anexos de serviços numa organização.

As listas de aceitação de consumidores e as políticas da organização são complementares e podem ser usadas em conjunto. Neste caso, só é criada uma ligação do Private Service Connect se for autorizada por ambos os mecanismos de segurança.

Funções

Para receber as autorizações de que precisa para gerir políticas da organização, peça ao seu administrador para lhe conceder a função de IAM de administrador da política da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Políticas da organização de produtores

Pode usar políticas da organização com a compute.restrictPrivateServiceConnectConsumer restrição de lista para controlar os pontos finais e os back-ends que se podem ligar a anexos de serviços do Private Service Connect. Se um ponto final ou um back-end for rejeitado por uma política de organização do produtor, a criação do recurso é bem-sucedida, mas a ligação entra no estado de rejeição.

Para mais informações, consulte as políticas de organização do lado do produtor.

Rejeite ligações de pontos finais e backends não autorizados

Recursos: pontos finais e backends

gcloud

  1. Crie um ficheiro temporário denominado /tmp/policy.yaml para armazenar a nova política. Adicione o seguinte conteúdo ao ficheiro:

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    Substitua o seguinte:

    • PRODUCER_ORG: o ID da organização da organização produtora à qual quer controlar o acesso do Private Service Connect do consumidor.
    • CONSUMER_ORG_NUMBER: o ID numérico do recurso da organização consumidora à qual quer permitir a ligação a anexos de serviços na organização produtora.

    Para especificar organizações adicionais que se podem ligar a anexos de serviços no seu projeto, inclua entradas adicionais na secção allowedValues.

    Além das organizações, pode especificar pastas e projetos autorizados no seguinte formato:

    • under:folders/FOLDER_ID

      O FOLDER_ID tem de ser o ID numérico.

    • under:projects/PROJECT_ID

      O PROJECT_ID tem de ser o ID da string.

    Por exemplo, o ficheiro seguinte mostra uma configuração da política de organização que rejeita ligações de pontos finais ou back-ends a anexos de serviços em Producer-org-1, a menos que estejam associados a um valor permitido ou a um descendente de um valor permitido. Os valores permitidos são a organização Consumer-org-1, o projeto Consumer-project-1 e a pasta Consumer-folder-1.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. Aplique a política.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. Veja a política em vigor.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Listas de aceitação e rejeição de consumidores

Recursos: pontos finais e backends

As listas de aceitação e rejeição de consumidores estão associadas a anexos de serviços. Estas listas permitem-lhe aceitar ou recusar explicitamente ligações de projetos ou redes de consumidores.

Para mais informações, consulte o artigo Listas de aceitação e rejeição de consumidores.

Interação entre listas de aceitação e políticas organizacionais

As listas de aceitação de consumidores e as políticas da organização controlam se é possível estabelecer uma ligação entre dois recursos do Private Service Connect. As ligações são bloqueadas se uma lista de aceitação ou uma política da organização negar a ligação.

Por exemplo, uma política com a restrição restrictPrivateServiceConnectConsumer pode ser configurada para bloquear ligações de fora da organização do produtor. Mesmo que um anexo de serviço esteja configurado para aceitar automaticamente todas as ligações, a política da organização continua a bloquear as ligações provenientes de fora da organização do produtor. Recomendamos que use as listas de aceitação e as políticas da organização em conjunto para ajudar a fornecer segurança em camadas.

Configure listas de aceitação e rejeição

Para ver informações sobre como criar uma nova associação de serviço com listas de aceitação ou rejeição de consumidores, consulte o artigo Publique um serviço com aprovação explícita do projeto.

Para ver informações sobre como atualizar as listas de aceitação ou rejeição de consumidores, consulte o artigo Faça a gestão dos pedidos de acesso a um serviço publicado.