Private Service Connect 安全性

本頁提供 Private Service Connect 安全性總覽。

Private Service Connect 提供多種控制項，可管理 Private Service Connect 資源的存取權。您可以控管哪些人能部署 Private Service Connect 資源、消費者和生產者之間是否能建立連線，以及允許哪些網路流量存取這些連線。

這些控制項是透過下列元素實作：

• 身分與存取權管理 (IAM) 權限可決定哪些 IAM 主體可部署 Private Service Connect 資源，例如端點、後端和服務。IAM 主體是指可存取資源的 Google 帳戶、服務帳戶、Google 群組、Google Workspace 帳戶或 Cloud Identity 網域。
• Private Service Connect 接受和拒絕清單和機構政策會決定個別消費者和生產者之間是否可以建立 Private Service Connect 連線。
• 虛擬私有雲防火牆規則會決定是否允許特定 TCP 或 UDP 流量存取 Private Service Connect 連線。

圖 1 說明這些控制項在 Private Service Connect 連線的消費者和生產者端如何互動。

IAM

資源：全部

每個 Private Service Connect 資源都受一或多個 IAM 權限控管。管理員可透過這些權限，強制規定哪些 IAM 主體可以部署 Private Service Connect 資源。

IAM 不會控管哪些 IAM 主體可以連線至或使用 Private Service Connect 連線。如要控管哪些端點或後端可與服務建立連線，請使用機構政策或消費者接受清單。如要控管哪些用戶端可以將流量傳送至 Private Service Connect 資源，請使用 VPC 防火牆或防火牆政策。

如要進一步瞭解 IAM 權限，請參閱「IAM 權限」。

如要瞭解建立端點所需的權限，請參閱「建立端點」。

如要瞭解建立服務附件所需的權限，請參閱「發布具有明確核准功能的服務」。

連線狀態

資源：端點、後端和服務連結

Private Service Connect 端點、後端和服務連結都有連線狀態，可說明連線狀態。 構成連線兩端的用戶和供應商資源一律會有相同的狀態。 您可以查看端點詳細資料、 說明後端，或 查看已發布服務的詳細資料，藉此查看連線狀態。

下表說明可能的狀態。

服務連結設定

您可以使用下列功能，控管哪些消費者可以連線至服務附件。

連線偏好設定

資源：端點和後端

每個服務連結都有連線偏好設定，可控制是否自動接受連線。

• 自動接受所有連線。服務附件會自動接受來自任何消費者的所有連入連線要求。
• 明確接受所選消費者的連線。只有當消費者位於服務附件的消費者接受清單中，服務附件才會接受連入連線要求。您可以依專案、虛擬私有雲網路或個別 Private Service Connect 端點指定消費者 (預覽版)。您無法在同一個消費者接受或拒絕清單中，加入不同類型的消費者。

無論是哪種連線偏好設定，如果機構政策封鎖了連入連線，系統就會覆寫已接受的連線並拒絕連線。

建議您明確接受特定消費者建立的連結。如果您透過其他方式控管消費者存取權，並想對服務啟用寬鬆的存取權，自動接受所有連線可能就適合您。

接受和拒絕清單

資源：端點和後端

消費者接受清單和消費者拒絕清單是服務附件的安全功能。服務供應商可透過這些清單，指定哪些消費者可以建立 Private Service Connect 連線，存取他們的服務。如果服務附件設定為需要明確核准，只有當消費者位於接受清單中，且不在拒絕清單中時，系統才會接受新的連線。除非啟用連線協調功能，否則消費者名單的更新只會影響新連線。

消費者接受和拒絕清單可讓您透過下列任一方式指定消費者：

• 專案
• 虛擬私有雲網路

• Private Service Connect 端點 (預先發布版)

  這個方法不適用於 Private Service Connect 後端。

如果將同一位消費者同時加入接受和拒絕清單，該消費者就無法連線至服務附件。系統不支援依資料夾指定消費者。

服務附件的兩個消費者清單必須包含相同類型的消費者。舉例來說，如果您將專案新增至接受清單，就無法將虛擬私有雲網路或端點 URI 新增至任一清單，除非您以新類型的消費者取代接受清單中的專案。

如要發布可接受不同類型消費者的服務，您可以建立多個連線至同一服務的服務附件。每個服務連結都可以設定專屬的連線偏好設定和消費者清單。

您可以在不中斷連線的情況下，變更消費者清單中的消費者類型，但必須在單一更新中進行變更。否則作業會失敗。

接受和拒絕名單可新增的消費者人數上限如下：

• 消費者接受清單最多可新增 5,000 個值。
• 最多可將 64 個值新增至消費者拒絕清單。

消費者清單可控管端點或後端是否能連線至已發布的服務，但無法控管誰能將要求傳送至該端點。舉例來說，假設消費者有共用虛擬私有雲網路，並附加了兩個服務專案。如果已發布的服務在消費者接受清單中包含 service-project1，且在消費者拒絕清單中包含 service-project2，則適用下列情況：

• service-project1 中的消費者可以建立端點，連線至已發布的服務。
• service-project2 中的消費者無法建立連線至已發布服務的端點。
• 如果沒有防火牆規則或政策禁止該流量，service-project2 中的用戶端可以將要求傳送至 service-project1 中的端點。

更新消費者接受或拒絕清單後，對現有連線的影響取決於是否啟用連線協調功能。詳情請參閱「連線對帳」。

如要瞭解如何建立含有消費者接受或拒絕清單的新服務附件，請參閱「發布具有明確專案核准功能的服務」。

如要瞭解如何更新消費者接受或拒絕清單，請參閱「管理已發布服務的存取要求」。

連線限制

資源：端點和後端

消費者接受清單有連線限制。這些限制會設定服務連結可從指定用戶專案或虛擬私有雲網路接受的 Private Service Connect 端點和後端連線總數。指定 Private Service Connect 端點型接受清單的連線限制沒有任何效果，因為只有一個端點可以比對指定的 URI。

生產者可以設定連線限制，避免個別消費者耗盡生產者虛擬私有雲網路中的 IP 位址或資源配額。每接受一個 Private Service Connect 連線，就會從消費者專案或虛擬私有雲網路的設定限制中扣除。您可以在建立或更新消費者接受名單時設定限制。您可以說明服務附件時，查看服務附件的連線。

傳播連線不會計入這些限制。

舉例來說，假設服務附件的消費者接受清單包含 project-1 和 project-2，兩者都只能建立一個連線。專案 project-1 要求兩個連線，project-2 要求一個連線，project-3 則要求一個連線。由於「project-1」只能建立一個連線，因此系統會接受第一個連線，第二個連線則會維持待處理狀態。已接受 project-2 的連線要求，但 project-3 的連線要求仍待處理。如要接受來自 project-1 的第二個連線，請提高 project-1 的限制。如果將 project-3 新增至消費者接受清單，該連線就會從待處理狀態轉為已接受狀態。

機構政策

透過機構政策，您可以廣泛控管哪些專案能使用 Private Service Connect 連線至虛擬私有雲網路或機構。

本頁面所述的組織政策可以封鎖或拒絕新的 Private Service Connect 連線，但不會影響現有連線。

機構政策會根據階層評估，套用至所參照資源的子系。舉例來說，如果組織政策限制存取 Google Cloud 機構，這項政策也會套用至機構的子資料夾、專案和資源。同樣地，將機構列為允許值，也會允許存取該機構的子項。

如要進一步瞭解機構政策，請參閱「機構政策」。

消費者端機構政策

您可以使用清單限制來控管端點和後端的部署作業。如果端點或後端遭消費者組織政策封鎖，資源建立作業就會失敗。

• 使用 restrictPrivateServiceConnectProducer 清單限制，根據生產者機構控管可連線的服務附件端點和後端。
• 使用 disablePrivateServiceConnectCreationForConsumers 清單限制，根據端點的連線類型控管端點部署作業。您可以封鎖連線至 Google API 的端點部署作業，也可以封鎖連線至已發布服務的端點部署作業。

禁止端點或後端連線至供應商機構

資源：端點和後端

如果機構政策使用含有允許值的 restrictPrivateServiceConnectProducer 清單限制，端點和後端就無法連線至服務附件，除非服務附件與政策的其中一個允許值相關聯。即使服務附件的消費者接受清單允許連線，這類政策也會封鎖連線。

舉例來說，下列機構政策適用於名為 Org-A 的機構：

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    – values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER
        - under:organizations/433637338589

圖 2 顯示這項機構政策的結果。這項政策允許 Org-A (ORG_A_NUMBER) 和 Google-org (433637338589) 的值。在 Org-A 中建立的端點和後端可以與 Org-A 中的服務附件通訊，但無法與 Org-B 中的服務附件通訊。

您可以允許下列類型的資源執行個體，使用 compute.restrictPrivateServiceConnectProducer 限制條件建立端點：

• 組織
• 資料夾
• 專案

如要瞭解如何建立使用 compute.restrictPrivateServiceConnectProducer 限制的機構政策，請參閱「禁止端點和後端連線至未經授權的服務附件」。

依連線類型封鎖端點建立作業

受影響的資源：端點

您可以根據端點是否連線至 Google API 或已發布的服務 (服務附件)，使用 disablePrivateServiceConnectCreationForConsumers 清單限制來禁止建立端點。

如要瞭解如何建立使用 disablePrivateServiceConnectCreationForConsumers 限制的機構政策，請參閱「依連線類型禁止消費者部署端點」。

製作人端機構政策

受影響的資源：端點和後端

您可以使用組織政策和compute.restrictPrivateServiceConnectConsumer 清單限制，控管哪些端點和後端可以連線至生產者組織或專案中的 Private Service Connect 附加服務。如果端點或後端遭供應商機構政策拒絕，資源建立作業會成功，但連線會進入遭拒狀態。

這種存取權控管方式與使用接受和拒絕清單類似，但機構政策適用於專案或機構中的所有服務附件，而非個別服務附件。

您可以同時使用機構政策和允許清單，機構政策會廣泛強制執行受管理服務的存取權，允許清單則會控管個別服務附件的存取權。

如果機構政策使用 compute.restrictPrivateServiceConnectConsumer 限制，除非端點或後端與政策的其中一個允許值相關聯，否則會拒絕來自端點和後端的連線。即使許可清單允許連線，這類政策也會拒絕連線。

舉例來說，下列機構政策適用於名為 Org-A 的機構：

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER

圖 3 顯示這項機構政策的結果。政策中 Org-A (ORG_A_NUMBER) 的值為允許。Org-A 中其他虛擬私有雲網路的端點可以連線至 Org-A 中的服務附件。嘗試連線的端點會遭到拒絕。Org-B

機構政策會根據階層評估，套用至所參照資源的子系。舉例來說，如果組織政策限制存取 Google Cloud 機構，這項政策也會套用至機構的子資料夾、專案和資源。同樣地，將機構列為允許值，也會允許存取該機構的子項。

您可以允許下列類型的資源執行個體，使用 restrictPrivateServiceConnectConsumer 限制條件建立端點：

• 組織
• 資料夾
• 專案

如要進一步瞭解如何搭配服務生產者使用機構政策，請參閱「生產者機構政策」。

消費者接受清單與機構政策之間的互動

消費者接受清單和機構政策都會控管兩個 Private Service Connect 資源之間是否可以建立連線。如果接受清單或機構政策拒絕連線，連線就會遭到封鎖。

舉例來說，您可以設定具有 restrictPrivateServiceConnectConsumer 限制的政策，禁止來自供應商機構外部的連線。即使服務附件設定為自動接受所有連線，機構政策仍會封鎖來自生產者機構外部的連線。建議您同時使用接受清單和機構政策，提供多層式安全防護。

防火牆

資源：全部

您可以使用虛擬私有雲防火牆規則和防火牆政策，控管對 Private Service Connect 資源的網路層級存取權。

如要進一步瞭解虛擬私有雲防火牆規則，請參閱「虛擬私有雲防火牆規則」。

如要進一步瞭解如何使用虛擬私有雲防火牆規則，限制存取消費者虛擬私有雲網路中的端點或後端，請參閱「使用防火牆規則限制存取端點或後端」。