Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אבטחה ב-Private Service Connect

בדף הזה מובאת סקירה כללית על האבטחה של Private Service Connect.

‫Private Service Connect מספק כמה אמצעי בקרה לניהול הגישה למשאבים של Private Service Connect. אתם יכולים לקבוע מי יכול לפרוס משאבי Private Service Connect, אם אפשר ליצור חיבורים בין צרכנים לבין ספקים, ולאיזה תעבורת רשת מותר לגשת לחיבורים האלה.

הפקדים האלה מיושמים באמצעות הרכיבים הבאים:

הרשאות לניהול זהויות והרשאות גישה (IAM) קובעות לאילו חשבונות משתמשים ב-IAM מותר לפרוס משאבי Private Service Connect, כמו נקודות קצה, קצה עורפי ושירותים. חשבון משתמש ב-IAM הוא חשבון Google, חשבון שירות, קבוצה ב-Google, חשבון Google Workspace או דומיין ב-Cloud Identity שיש להם גישה למשאב.
רשימות של אישור ודחייה ב-Private Service Connect ומדיניות הארגון קובעות אם אפשר ליצור חיבורים של Private Service Connect בין צרכנים ומפיקים ספציפיים.
כללי חומת אש של VPC קובעים אם תעבורת TCP או UDP מסוימת יכולה לגשת לחיבורי Private Service Connect.

באיור 1 מתואר אופן הפעולה של אמצעי הבקרה האלה בצד הצרכן ובצד הבעלים של השירות המנוהל בחיבור Private Service Connect.

**איור 1.** הרשאות IAM, מדיניות ארגונית, רשימות של כתובות שאפשר לקבל או לדחות וכללי חומת אש של VPC פועלים יחד כדי לאבטח את הצדדים של הצרכן והספק בחיבור Private Service Connect (אפשר ללחוץ כדי להגדיל).

IAM

מקורות מידע: כולם

כל משאב של Private Service Connect כפוף להרשאה אחת או יותר ב-IAM. ההרשאות האלה מאפשרות לאדמינים לקבוע אילו חשבונות משתמשים ב-IAM יכולים לפרוס משאבים של Private Service Connect.

ב-IAM לא נקבע אילו ישויות ב-IAM יכולות להתחבר לחיבור Private Service Connect או להשתמש בו. כדי לשלוט בנקודות הקצה או בשרתי הקצה העורפיים שיכולים ליצור חיבור לשירות, משתמשים במדיניות ארגונית או ברשימות של צרכנים שאושרו. כדי לקבוע אילו לקוחות יכולים לשלוח תנועה למשאבי Private Service Connect, משתמשים בחומות אש של VPC או במדיניות חומת אש.

מידע נוסף על הרשאות ב-IAM זמין במאמר הרשאות ב-IAM.

במאמר יצירת נקודת קצה מוסבר אילו הרשאות נדרשות כדי ליצור נקודת קצה.

במאמר פרסום שירות עם אישור מפורש מפורטות ההרשאות שנדרשות כדי ליצור קובץ מצורף לשירות.

סטטוסים של חיבורים

משאבים: נקודות קצה, קצה עורפי וקבצים מצורפים לשירות

לנקודות קצה, לקצוות עורפיים ולחיבורי שירות של Private Service Connect יש סטטוסים של חיבור שמתארים את מצב החיבורים שלהם. למשאבי הצרכן והבעלים שיוצרים את שני הצדדים של החיבור תמיד יש את אותו סטטוס. אפשר לראות את סטטוס החיבור כשמציגים את פרטי נקודת הקצה, מתארים את ה-backend או מציגים את הפרטים של שירות שפורסם.

בטבלה הבאה מפורטים הסטטוסים האפשריים.

סטטוס החיבור	תיאור
אושרה	החיבור ל-Private Service Connect נוצר. יש קישוריות בין שתי רשתות ה-VPC, והחיבור פועל כרגיל.
בהמתנה	החיבור של Private Service Connect לא נוצר, ולא ניתן להעביר תנועה ברשת בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות: נדרש אישור מפורש לצירוף השירות, והצרכן לא נמצא ברשימת הצרכנים המורשים. מספר החיבורים חורג ממגבלת החיבורים של קובץ השירות. חיבורים שנחסמו מהסיבות האלה יישארו במצב 'בהמתנה' לזמן בלתי מוגבל עד שהבעיה הבסיסית תיפתר.
נדחתה	החיבור ל-Private Service Connect לא נוצר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות: מדיניות הארגון של היצרן דחתה את החיבור. ‫A consumer reject list rejected the connection.
נדרשת התייחסות	יש בעיה בצד של המפיק בחיבור. יכול להיות שחלק מעומס התנועה הקל יעבור בין שתי הרשתות, אבל יכול להיות שחלק מהחיבורים לא יפעלו. לדוגמה, יכול להיות שרשת המשנה של NAT של היצרן מלאה ואין אפשרות להקצות כתובות IP לחיבורים חדשים.
סגור	הקובץ המצורף עם השירות נמחק, והחיבור של Private Service Connect נסגר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות. חיבור סגור הוא מצב סופי. כדי לשחזר את החיבור, צריך ליצור מחדש את קובץ השירות ואת נקודת הקצה או את ה-backend.

הגדרת קובץ מצורף עם השירות

אתם יכולים לקבוע אילו צרכנים יכולים להתחבר לנקודת חיבור לשירות באמצעות התכונות הבאות.

העדפת חיבור

מקורות מידע: נקודות קצה ועורפי קצה

לכל קובץ מצורף של שירות יש העדפת חיבור שקובעת אם החיבורים יתקבלו באופן אוטומטי.

אישור אוטומטי של כל החיבורים. קובץ השירות מקבל אוטומטית את כל בקשות החיבור הנכנסות מכל צרכן.
אישור מפורש של חיבורים מצרכנים נבחרים. החיבור של קובץ השירות יתבצע רק אם הצרכן נמצא ברשימת הצרכנים המורשים של קובץ השירות. אפשר לציין צרכנים לפי פרויקט, רשת VPC או נקודת קצה ספציפית של Private Service Connect (גרסת Preview). אי אפשר לכלול סוגים שונים של צרכנים באותה רשימת צרכנים שהסכימו או דחו את התנאים.

בכל אחת מהעדפות החיבור, אפשר לבטל את החיבורים שאושרו ולדחות אותם באמצעות מדיניות ארגונית שחוסמת חיבורים נכנסים.

מומלץ לאשר באופן מפורש את החיבורים עבור צרכנים נבחרים. יכול להיות שיהיה לכם נוח לאשר אוטומטית את כל החיבורים אם אתם שולטים בגישת הצרכנים באמצעים אחרים ורוצים לאפשר גישה לשירות שלכם.

רשימות של אנשים שאושרו או נדחו

מקורות מידע: נקודות קצה ועורפי קצה

רשימות של צרכנים שאפשר להוסיף ורשימות של צרכנים שאסור להוסיף הן תכונות אבטחה של קבצים מצורפים לשירות. הרשימות האלה מאפשרות לבעלי שירותים מנוהלים לציין אילו צרכנים יכולים ליצור חיבורים של Private Service Connect לשירותים שלהם. כשמגדירים אישור מפורש לחיבור שירות, חיבור חדש מתקבל רק אם הלקוח נמצא ברשימת האישורים ולא ברשימת הדחיות. עדכונים ברשימות של צרכנים משפיעים רק על חיבורים חדשים, אלא אם מפעילים את התאמת חיבורים.

רשימות הצרכנים המורשים והלא מורשים מאפשרות לכם לציין צרכנים באחת מהדרכים הבאות:

פרויקט
רשת VPC
נקודת קצה מסוג Private Service Connect‏ (Preview)

השיטה הזו לא רלוונטית לקצוות עורפיים של Private Service Connect.

אם מוסיפים את אותו צרכן לרשימות של אישור ודחייה, הצרכן הזה לא יכול להתחבר ל-service attachment. ציון צרכנים לפי תיקייה אינו נתמך.

שתי רשימות הצרכנים של קובץ מצורף לשירות צריכות להכיל את אותו סוג של צרכן. לדוגמה, אם מוסיפים פרויקט לרשימת ההיתרים, אי אפשר להוסיף לרשימה רשת VPC או URI של נקודת קצה, אלא אם מחליפים את הפרויקט ברשימת ההיתרים בסוג החדש של צרכן.

אם רוצים לפרסם שירות שמקבל סוגים שונים של צרכנים, אפשר ליצור כמה קבצים מצורפים של שירותים שמתחברים לאותו שירות. אפשר להגדיר לכל קובץ מצורף של שירות העדפות חיבור משלו ורשימות צרכנים משלו.

אפשר לשנות את סוג הצרכן ברשימות צרכנים בלי להפריע לחיבורים, אבל השינוי חייב להתבצע בעדכון אחד. אחרת, הפעולה תיכשל.

יש הגבלות על מספר הצרכנים שאפשר להוסיף לרשימות ההסכמה והדחייה:

אפשר להוסיף עד 5,000 ערכים לרשימת הצרכנים המותרים.
אפשר להוסיף עד 64 ערכים לרשימת הדחיות של הצרכנים.

רשימות צרכנים קובעות אם נקודת קצה או קצה עורפי יכולים להתחבר לשירות שפורסם, אבל הן לא קובעות מי יכול לשלוח בקשות לנקודת הקצה הזו. לדוגמה, נניח שלצרכן יש רשת VPC משותפת שמצורפים אליה שני פרויקטים של שירותים. אם שירות שפורסם כולל את service-project1 ברשימת הצרכנים המורשים ואת service-project2 ברשימת הצרכנים הדחויים, התנאים הבאים חלים:

צרכן ב-service-project1 יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
צרכן ב-service-project2 לא יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
לקוח ב-service-project2 יכול לשלוח בקשות לנקודת הקצה ב-service-project1, אם אין כללי חומת אש או מדיניות שמונעים את התנועה הזו.

כשמעדכנים רשימה של צרכנים שאישרו או דחו את החיבור, ההשפעה על חיבורים קיימים משתנה בהתאם להגדרה של סנכרון החיבורים. מידע נוסף זמין במאמר התאמת חיבורים.

במאמר פרסום שירות עם אישור פרויקט מפורש מוסבר איך ליצור קובץ מצורף חדש לשירות עם רשימות של צרכנים שאושרו או נדחו.

מידע על עדכון רשימות של צרכנים שאושרו או נדחו זמין במאמר ניהול בקשות לגישה לשירות שפורסם.

מגבלות על חיבורים

מקורות מידע: נקודות קצה ועורפי קצה

יש מגבלות על מספר החיבורים ברשימות של צרכנים שאפשר לקבל מהם בקשות. ההגבלות האלה קובעות את המספר הכולל של נקודות קצה וחיבורי קצה עורפיים של Private Service Connect שניתן לקבל מצרכן הפרויקט או מרשת ה-VPC שצוינו. אין השפעה להגדרת מגבלות חיבור לרשימות של כתובות IP שאפשר לגשת אליהן שמבוססות על נקודת קצה מסוג Private Service Connect, כי רק נקודת קצה אחת יכולה להתאים למזהה URI נתון.

מפיקים יכולים להשתמש בהגבלות על חיבורים כדי למנוע מצרכנים בודדים לנצל את כל כתובות ה-IP או את מכסות המשאבים ברשת ה-VPC של המפיק. כל חיבור שאושר ב-Private Service Connect מוריד מהמגבלה שהוגדרה לפרויקט של צרכן או לרשת VPC. ההגבלות נקבעות כשיוצרים או מעדכנים רשימות של צרכנים שהביעו הסכמה. אפשר לראות את החיבורים של קובץ מצורף לשירות כשמתארים קובץ מצורף לשירות.

חיבורים שהועברו לא נספרים במגבלות האלה.

לדוגמה, נניח שיש קובץ מצורף לשירות עם רשימת צרכנים שאושרו שכוללת את project-1 ואת project-2, ולכל אחד מהם יש מגבלה של חיבור אחד. בפרויקט project-1 נדרשים שני חיבורים, בפרויקט project-2 נדרש חיבור אחד ובפרויקט project-3 נדרש חיבור אחד. ב-project-1 יש הגבלה של חיבור אחד, ולכן החיבור הראשון מתקבל והחיבור השני נשאר בהמתנה. החיבור מ-project-2 אושר, והחיבור מ-project-3 עדיין בהמתנה. אפשר לאשר את החיבור השני מ-project-1 על ידי הגדלת המגבלה של project-1. אם מוסיפים את project-3 לרשימת הצרכנים המאושרים, החיבור הזה עובר ממצב בהמתנה למצב מאושר.

מדיניות הארגון

מדיניות הארגון מאפשרת לכם לשלוט באופן כללי בפרויקטים שיכולים להתחבר לרשתות VPC או לארגונים באמצעות Private Service Connect.

מדיניות הארגון שמתוארת בדף הזה יכולה לחסום או לדחות חיבורים חדשים של Private Service Connect, אבל היא לא משפיעה על חיבורים קיימים.

מדיניות ארגון חלה על צאצאים של המשאב שאליו היא מתייחסת בהתאם להערכה היררכית. לדוגמה, מדיניות ארגונית שמגבילה את הגישה ל Google Cloud ארגון חלה גם על תיקיות, פרויקטים ומשאבים צאצאים של הארגון. באופן דומה, אם מציינים ארגון כערך מותר, זה מאפשר גישה גם לילדים של הארגון הזה.

מידע נוסף על מדיניות הארגון

מדיניות ארגונית בצד הצרכן

אפשר להשתמש באילוצי רשימה כדי לשלוט בפריסה של נקודות קצה ושרתי קצה עורפיים. אם נקודת קצה או קצה עורפי נחסמים על ידי מדיניות ארגונית של צרכן, יצירת המשאב נכשלת.

משתמשים באילוץ הרשימה restrictPrivateServiceConnectProducer כדי לקבוע אילו נקודות קצה ושרתי קצה עורפיים של שירותים מצורפים יכולים להתחבר על סמך הארגון שמספק את השירות.
כדי לשלוט בפריסת נקודות הקצה על סמך סוג החיבור של נקודת הקצה, משתמשים באילוץ הרשימה disablePrivateServiceConnectCreationForConsumers. אתם יכולים לחסום את הפריסה של נקודות קצה שמתחברות לממשקי Google API, או לחסום את הפריסה של נקודות קצה שמתחברות לשירותים שפורסמו.

חסימת נקודות קצה או שרתים עורפיים מהתחברות לארגונים שמפיקים תוכן

מקורות מידע: נקודות קצה ועורפי קצה

מדיניות ארגונית שמשתמשת באילוץ restrictPrivateServiceConnectProducer עם ערכים מותרים חוסמת נקודות קצה ושרתי קצה עורפיים מלהתחבר לצירופי שירות, אלא אם צירופי השירות משויכים לאחד מהערכים המותרים של המדיניות. מדיניות מהסוג הזה חוסמת חיבורים גם אם הם מותרים על ידי רשימת הצרכנים המורשים של קובץ השירות.

לדוגמה, מדיניות הארגון הבאה חלה על ארגון בשם Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    – values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER
        - under:organizations/433637338589

איור 2 מציג את התוצאה של מדיניות הארגון הזו. במדיניות יש ערכים מותרים ל-Org-A (ORG_A_NUMBER) ול-Google-org (433637338589). נקודות קצה ועורפים שנוצרו ב-Org-A יכולים לתקשר עם קבצים מצורפים של שירותים ב-Org-A, אבל לא עם קבצים מצורפים של שירותים ב-Org-B.

**איור 2.** מדיניות ארגונית מאפשרת לנקודת הקצה `psc-1` להתחבר לצירוף השירות `sa-1` וחוסמת את `psc-3` להתחבר לצירופי שירות ב-`Org-B`. נקודות קצה ועורפים ב-`Org-A` יכולים להתחבר לצירופי שירותים שבבעלות Google (לוחצים להגדלה).

אפשר לאפשר למופעים של סוגי המשאבים הבאים ליצור נקודות קצה עם האילוץ compute.restrictPrivateServiceConnectProducer:

ארגונים
תיקיות
פרויקטים

למידע על יצירת מדיניות ארגונית שמשתמשת באילוץ compute.restrictPrivateServiceConnectProducer, אפשר לעיין במאמר חסימת נקודות קצה ועורפים מחיבור לצירופי שירות לא מורשים.

חסימת יצירת נקודות קצה לפי סוג החיבור

מקורות המידע שהושפעו: נקודות קצה

אפשר להשתמש באילוץ disablePrivateServiceConnectCreationForConsumers list כדי לחסום את היצירה של נקודות קצה בהתאם לשאלה אם הן מתחברות לממשקי API של Google או לשירותים שפורסמו (קבצים מצורפים של שירותים).

מידע על יצירת מדיניות ארגון שמשתמשת באילוץ disablePrivateServiceConnectCreationForConsumers זמין במאמר חסימת פריסת נקודות קצה על ידי צרכנים לפי סוג החיבור.

מדיניות הארגון בצד המפיק

מקורות המידע שהושפעו: נקודות קצה ועורפיים

אתם יכולים להשתמש במדיניות הארגון עם compute.restrictPrivateServiceConnectConsumer אילוץ הרשימה כדי לקבוע אילו נקודות קצה ועורפי קצה יכולים להתחבר לצירופי שירות של Private Service Connect בארגון או בפרויקט של ספק. אם נקודת קצה או קצה עורפי נדחים על ידי מדיניות ארגונית של יצרן, יצירת המשאב מצליחה, אבל החיבור עובר למצב דחוי.

השליטה בגישה בדרך הזו דומה לשימוש ברשימות של אישור ודחייה, אבל מדיניות הארגון חלה על כל נקודות החיבור לשירות בפרויקט או בארגון, ולא על נקודת חיבור ספציפית לשירות.

אפשר להשתמש במדיניות ארגונית וברשימות של כתובות IP שאפשר לגשת אליהן יחד. המדיניות הארגונית אוכפת גישה לשירות מנוהל באופן כללי, והרשימות של כתובות IP שאפשר לגשת אליהן שולטות בגישה לצירופי שירות ספציפיים.

מדיניות ארגונית שמשתמשת באילוץ compute.restrictPrivateServiceConnectConsumer דוחה חיבורים מנקודות קצה ומשרתי קצה, אלא אם נקודת הקצה או שרת הקצה משויכים לאחד מהערכים המותרים של המדיניות. מדיניות מהסוג הזה דוחה חיבורים גם אם הם מופיעים ברשימת ההיתרים.

לדוגמה, מדיניות הארגון הבאה חלה על ארגון בשם Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER

איור 3 מציג את התוצאה של מדיניות הארגון הזו. במדיניות יש ערך מותר ל-Org-A (ORG_A_NUMBER). נקודות קצה ברשתות VPC אחרות ב-Org-A יכולות להתחבר ל-Service Attachments ב-Org-A. נקודות קצה ב-Org-B שמנסות להתחבר נדחות.

**איור 3.** מדיניות ארגון מאפשרת ל-`psc-1` להתחבר ל-`sa-1`, אבל חוסמת את `psc-2` מלהתחבר (אפשר ללחוץ כדי להגדיל).

אפשר לאפשר למופעים של סוגי המשאבים הבאים ליצור נקודות קצה עם האילוץ restrictPrivateServiceConnectConsumer:

ארגונים
תיקיות
פרויקטים

מידע נוסף על שימוש במדיניות הארגון עם ספקי שירותים זמין במאמר מדיניות הארגון של הספק.

אינטראקציה בין רשימות של צרכנים שאושרו לבין מדיניות ארגונית

גם רשימות הצרכנים המורשים וגם מדיניות הארגון קובעות אם אפשר ליצור חיבור בין שני משאבי Private Service Connect. החיבורים נחסמים אם רשימת ההיתרים או מדיניות הארגון דוחות את החיבור.

לדוגמה, אפשר להגדיר מדיניות עם האילוץ restrictPrivateServiceConnectConsumer כדי לחסום חיבורים מחוץ לארגון של היוצר. גם אם מצורף שירות מוגדר לקבל באופן אוטומטי את כל החיבורים, מדיניות הארגון עדיין חוסמת חיבורים מחוץ לארגון של היצרן. מומלץ להשתמש גם ברשימות של כתובות שאושרו וגם במדיניות הארגון כדי לספק אבטחה בשכבות.

חומות אש

מקורות מידע: כולם

אתם יכולים להשתמש בכללי חומת אש ובמדיניות חומת אש של VPC כדי לשלוט בגישה ברמת הרשת למשאבים של Private Service Connect.

מידע נוסף על הכללים של חומת האש ב-VPC זמין במאמר בנושא הכללים של חומת האש ב-VPC.

מידע נוסף על שימוש בכללי חומת אש של VPC כדי להגביל את הגישה לנקודות קצה או לשרתי קצה בעורף ברשת VPC של צרכן זמין במאמר שימוש בכללי חומת אש כדי להגביל את הגישה לנקודות קצה או לשרתי קצה בעורף.