ניהול של service perimeters

בדף הזה מוסבר איך לנהל היקפי שירות ב-VPC Service Controls. פרטים על יצירת גבולות גזרה חדשים לשירות מופיעים במאמר יצירת גבולות גזרה לשירות.

הדף הזה כולל את הקטעים הבאים:

לפני שמתחילים

הצגה של רשימה ותיאור של service perimeters

כדי להציג את כל היקפי השירות בארגון:

המסוף

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר לדף VPC Service Controls

  2. בדף VPC Service Controls, בטבלה, לוחצים על השם של גבולות הגזרה לשירות שרוצים לראות.

gcloud

כדי לראות את רשימת הגדרות ההיקף של השירות בארגון, משתמשים בפקודה list:

gcloud access-context-manager perimeters list

אמורה להופיע רשימה של הגדרות ההיקף של הארגון. לדוגמה:

NAME           TITLE                 ETAG
ProdPerimeter  Production Perimeter  abcdefg123456789

כדי לראות פרטים על גבול גזרה לשירות, משתמשים בפקודה describe:

gcloud access-context-manager perimeters \
  describe PERIMETER_ID

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות הגזרה לשירות שרוצים לקבל פרטים לגביהם.

יוצגו הפרטים על ההיקף. לדוגמה:

etag: abcdefg123456789
name: accessPolicies/626111171578/servicePerimeters/ProdPerimeter
status:
  accessLevels:
  - accessPolicies/626111171578/accessLevels/corpAccess
  resources:
  - projects/111584792408
  restrictedServices:
  - bigquery.googleapis.com
  - storage.googleapis.com
title: Production Perimeter

רישום של service perimeters (מעוצב)

באמצעות כלי שורת הפקודה gcloud, אפשר לקבל רשימה של גבולות השירות בפורמט YAML או JSON.

כדי לקבל רשימה מעוצבת של הגדרות ההיקף, משתמשים בפקודה list:

gcloud access-context-manager perimeters list \
  --format=FORMAT

מחליפים את מה שכתוב בשדות הבאים:

  • FORMAT הוא אחד מהערכים הבאים:

    • list (פורמט YAML)

    • json (פורמט JSON)

הפלט הבא הוא רשימה לדוגמה בפורמט YAML:

- etag: abcdefg123456789
  name: accessPolicies/165717541651/servicePerimeters/On_Prem
  status: {'resources': ['projects/167410821371'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com']}
  title: On Prem
- etag: hijklmn987654321
  name: accessPolicies/165717541651/servicePerimeters/Private
  spec: {'resources': ['projects/136109111311'], 'restrictedServices': ['bigquery.googleapis.com', 'storage.googleapis.com', 'logging.googleapis.com']}
  status: {'resources': ['projects/136109111311', 'projects/401921913171'], 'restrictedServices': ['bigquery.googleapis.com']}
  title: Private
  useExplicitDryRunSpec: True
- etag: pqrstuv123456789
  name: accessPolicies/165717541651/servicePerimeters/OnpremBridge
  perimeterType: PERIMETER_TYPE_BRIDGE
  status: {'resources': ['projects/167410821371']}
  title: OnpremBridge

הפלט הבא הוא דוגמה לרשימה בפורמט JSON:

[
  {
    "etag": "abcdefg123456789",
    "name": "accessPolicies/165717541651/servicePerimeters/On_Prem",
    "status": {
      "resources": [
        "projects/167410821371"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com"
      ]
    },
    "title": "On Prem"
  },
  {
    "etag": "hijklmn987654321",
    "name": "accessPolicies/165717541651/servicePerimeters/Private",
    "spec": {
      "resources": [
        "projects/136109111311"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com",
        "storage.googleapis.com",
        "logging.googleapis.com"
      ]
    },
    "status": {
      "resources": [
        "projects/136109111311",
        "projects/401921913171"
      ],
      "restrictedServices": [
        "bigquery.googleapis.com"
      ]
    },
    "title": "Private",
    "useExplicitDryRunSpec": true
  },
  {
    "etag": "pqrstuv123456789",
    "name": "accessPolicies/165717541651/servicePerimeters/OnpremBridge",
    "perimeterType": "PERIMETER_TYPE_BRIDGE",
    "status": {
      "resources": [
        "projects/167410821371"
      ]
    },
    "title": "OnpremBridge"
  }
]

עדכון של גבולות גזרה לשירות

בקטע הזה מוסבר איך לעדכן חומות אבטחה נפרדות. כדי לעדכן את כל גבולות השירות של הארגון בפעולה אחת, אפשר לעיין במאמר ביצוע שינויים גורפים בגבולות שירות.

כדי לעדכן את היקף השירות, אפשר לבצע את המשימות הבאות:

אחרי שמעדכנים את היקף השירות, יכולות לחלוף עד 30 דקות עד שהשינויים יתעדכנו וייכנסו לתוקף. במהלך הזמן הזה, יכול להיות שההיקף יחסום בקשות עם הודעת השגיאה הבאה: Error 403: Request is prohibited by organization's policy.

המסוף

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר לדף VPC Service Controls

  2. בדף VPC Service Controls (אמצעי בקרה של שירות VPC), בטבלה, לוחצים על השם של גבולות גזרה לשירות שרוצים לשנות.

  3. בדף פרטים של גבולות גזרה לשירות, לוחצים על עריכה.

  4. בדף עריכה של גבולות גזרה לשירות, מעדכנים את גבולות הגזרה לשירות.

  5. לוחצים על Save.

gcloud

כדי להוסיף משאבים חדשים לגבולות גזרה, משתמשים בפקודה update ומציינים את המשאבים שרוצים להוסיף:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-resources=RESOURCES

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות הגזרה לשירות שרוצים לקבל פרטים לגביהם.

  • RESOURCES היא רשימה של מספר פרויקט אחד או יותר או שמות של רשתות VPC, שמופרדים באמצעות פסיקים. לדוגמה: projects/12345 או //compute.googleapis.com/projects/my-project/global/networks/vpc1. מותר להשתמש רק בפרויקטים וברשתות VPC. פורמט הפרויקט: projects/project_number. פורמט VPC: //compute.googleapis.com/projects/project-id/global/networks/network_name.

כדי לעדכן את רשימת השירותים המוגבלים, משתמשים בפקודה update ומציינים את השירותים שרוצים להוסיף כרשימה מופרדת בפסיקים:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-restricted-services=SERVICES

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות הגזרה לשירות שרוצים לקבל פרטים לגביהם.

  • SERVICES היא רשימה מופרדת בפסיקים של שירות אחד או יותר. לדוגמה: storage.googleapis.com או storage.googleapis.com,bigquery.googleapis.com.

הוספת רמת גישה להיקף קיים

אחרי שיוצרים רמת גישה, אפשר להחיל אותה על גבולות גזרה לשירות כדי לשלוט בגישה.

אחרי שמעדכנים את היקף השירות, יכולות לחלוף עד 30 דקות עד שהשינויים יתעדכנו וייכנסו לתוקף. במהלך הזמן הזה, יכול להיות שההיקף יחסום בקשות עם הודעת השגיאה הבאה: Error 403: Request is prohibited by organization's policy.

המסוף

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר לדף VPC Service Controls

  2. בדף VPC Service Controls (אמצעי בקרה של שירות VPC), בטבלה, לוחצים על השם של גבולות גזרה לשירות שרוצים לשנות.

  3. בדף פרטים של גבולות גזרה לשירות, לוחצים על עריכה.

  4. בדף עריכת גבולות גזרה לשירות, לוחצים על רמות גישה.

  5. לוחצים על הוספת רמות גישה.

  6. בחלונית הוספת רמות גישה, מסמנים את תיבות הסימון שמתאימות לרמות הגישה שרוצים להחיל על היקף שירות.

  7. לוחצים על הוספת רמות הגישה שנבחרו.

  8. לוחצים על Save.

gcloud

כדי להוסיף רמת גישה לגבולות גזרה לשירות קיימים, משתמשים בפקודה update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-access-levels=LEVEL_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות גזרה לשירות.

  • LEVEL_NAME הוא שם רמת הגישה שרוצים להוסיף להיקף.

מידע נוסף על שימוש ברמות גישה עם היקף מוגדר זמין במאמר מתן גישה למשאבים מוגנים מחוץ להיקף מוגדר.

מחיקת גבולות גזרה לשירות

כשמוחקים גבולות גזרה לשירות, אמצעי הבקרה לאבטחה שמשויכים לגבולות הגזרה כבר לא חלים על הפרויקטים המשויכים ב- Google Cloud. אין השפעה אחרת על הפרויקטים של חברי הקבוצה Google Cloud או על המשאבים המשויכים.

המסוף

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר לדף VPC Service Controls

  2. בדף VPC Service Controls, בשורה בטבלה שמתאימה להיקף שרוצים למחוק, לוחצים על .

gcloud

כדי למחוק גבולות גזרה לשירות, משתמשים בפקודה delete:

gcloud access-context-manager perimeters delete PERIMETER_ID

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות גזרה לשירות.

הגבלת הגישה לשירותים בתוך מתחם היקפי באמצעות שירותים שאפשר לגשת אליהם מ-VPC

בקטע הזה מוסבר איך להפעיל, להוסיף, להסיר ולהשבית שירותים שנגישים ל-VPC.

אתם יכולים להשתמש בתכונה 'שירותים נגישים ב-VPC' כדי להגביל את קבוצת השירותים שאפשר לגשת אליהם מנקודות קצה ברשת בתוך גבולות גזרה לשירות. אפשר להוסיף שירותים עם גישה ל-VPC למתחמי אבטחה, אבל לא לגשרים בין מתחמי אבטחה.

מידע נוסף על התכונה 'שירותים שניתן לגשת אליהם דרך VPC' זמין במאמר שירותים שניתן לגשת אליהם דרך VPC.

הפעלת שירותים שאפשר לגשת אליהם דרך VPC

כדי להפעיל שירותים עם גישה ל-VPC עבור היקף שירות, משתמשים בפקודה update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=SERVICES

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות גזרה לשירות.

  • SERVICES: רשימה מופרדת בפסיקים של שירות אחד או יותר שרוצים לאפשר לרשתות בתוך גבולות הגזרה שלכם לגשת אליהם. הגישה לכל השירותים שלא נכללים ברשימה הזו נחסמת.

    כדי לכלול במהירות את השירותים שמוגנים על ידי גבולות הגזרה, מוסיפים את הערך RESTRICTED-SERVICES לרשימה של SERVICES. אפשר לכלול שירותים אחרים בנוסף ל-RESTRICTED-SERVICES.

לדוגמה, כדי לוודא שלרשתות ה-VPC ב-perimeter יש גישה רק לשירותים Logging ו-Cloud Storage, משתמשים בפקודה הבאה:

gcloud access-context-manager perimeters update example_perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,logging.googleapis.com,storage.googleapis.com \
  --policy=11271009391

הוספת שירות לשירותים שניתן לגשת אליהם ב-VPC

כדי להוסיף שירותים נוספים לשירותים הנגישים ל-VPC בגבולות הגזרה שלכם, משתמשים בפקודה update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --add-vpc-allowed-services=SERVICES

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות גזרה לשירות.

  • SERVICES: רשימה מופרדת בפסיקים של שירות אחד או יותר שרוצים לאפשר לרשתות בתוך גבולות הגזרה שלכם לגשת אליהם.

    כדי לכלול במהירות את השירותים שמוגנים על ידי גבולות הגזרה, מוסיפים את הערך RESTRICTED-SERVICES לרשימה של SERVICES. אפשר לכלול שירותים נפרדים בנוסף ל-RESTRICTED-SERVICES.

לדוגמה, אם מפעילים שירותים שנגישים ל-VPC ורוצים שרשתות ה-VPC ב-perimeter יוכלו לגשת לשירות Pub/Sub, משתמשים בפקודה הבאה:

gcloud access-context-manager perimeters update example_perimeter \
  --add-vpc-allowed-services=RESTRICTED-SERVICES,pubsub.googleapis.com \
  --policy=11271009391

הסרת שירות מהשירותים שאפשר לגשת אליהם ב-VPC

כדי להסיר שירותים מהשירותים הנגישים ל-VPC ב-service perimeter, משתמשים בפקודה update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --remove-vpc-allowed-services=SERVICES

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות גזרה לשירות.

  • SERVICES היא רשימה מופרדת בפסיקים של שירות אחד או יותר שרוצים להסיר מהרשימה של השירותים שלרשתות בתוך גבולות גזרה לשירות יש הרשאה לגשת אליהם.

לדוגמה, אם הפעלתם שירותים שנגישים ל-VPC ואתם כבר לא רוצים שלרשתות ה-VPC בהיקף שלכם תהיה גישה לשירות Cloud Storage, אתם יכולים להשתמש בפקודה הבאה:

gcloud access-context-manager perimeters update example_perimeter \
  --remove-vpc-allowed-services=storage.googleapis.com \
  --policy=11271009391

השבתת שירותים שאפשר לגשת אליהם מ-VPC

כדי להשבית את ההגבלות על שירותי VPC ב-גבולות גזרה לשירות, משתמשים בפקודה update:

gcloud access-context-manager perimeters update PERIMETER_ID \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID הוא המזהה של גבולות גזרה לשירות.

לדוגמה, כדי להשבית את ההגבלות על שירותי VPC עבור example_perimeter, משתמשים בפקודה הבאה:

gcloud access-context-manager perimeters update example_perimeter \
  --no-enable-vpc-accessible-services \
  --clear-vpc-allowed-services \
  --policy=11271009391

שירותים שאפשר לגשת אליהם מ-VPC וממשק Access Context Manager API

אפשר גם להשתמש ב-Access Context Manager API כדי לנהל שירותים שאפשר לגשת אליהם דרך VPC. כשיוצרים או משנים גבול גזרה לשירות, משתמשים באובייקט ServicePerimeterConfig בגוף התגובה כדי להגדיר את השירותים שאפשר לגשת אליהם ב-VPC.