VPC Service Controls für Integration Connectors einrichten

Mit VPC Service Controls können Sie einen Sicherheitsbereich um den Google Cloud-Dienst von Integration Connectors definieren. Mit dem Sicherheitsbereich um Ihren Dienst können Sie Daten innerhalb eines VPC Service Controls-Perimeters einschränken und das Risiko einer Daten-Exfiltration minimieren. Wenn Sie noch nicht mit VPC Service Controls vertraut sind, sollten Sie die folgenden Informationen lesen:

In diesem Dokument wird beschrieben, wie Sie den Zugriff auf den Integration Connectors-Dienst (connectors.googleapis.com) mithilfe des VPC Service Controls-Perimeters einschränken. Nachdem Sie den Perimeter eingerichtet haben, können Sie Richtlinien konfigurieren, die festlegen, welche anderen Google Cloud-Dienste oder Nutzer auf den connectors.googleapis.com-Dienst zugreifen können.

Hinweise

  • Wenn Ihre Verbindung zu einer Google Cloud-Ressource hergestellt wird, muss auf diese Ressource innerhalb des VPC Service Controls-Perimeters zugegriffen werden können.
  • Wenn Sie bereits Verbindungen zu einem öffentlichen Endpunkt haben, müssen Sie vor dem Einrichten des VPC Service Controls-Perimeters dafür sorgen, dass für diese Verbindungen der PSC-Anhang (Private Service Connect) verwendet wird, um die Backend-Systeme zu verbinden. Ohne den PSC-Anhang funktionieren vorhandene Verbindungen zu einem öffentlichen Endpunkt nicht mehr, nachdem Sie den VPC Service Controls-Perimeter eingerichtet haben.
  • Wenn Ihre Verbindung zu einer nicht zu Google Cloud gehörenden Ressource hergestellt wird, sollte das Ziel der Verbindung ein PSC-Anhang sein. Verbindungen, die ohne die PSC-Anhänge erstellt wurden, schlagen fehl.
  • Wenn Sie einen VPC Service Controls-Perimeter für Ihr Google Cloud-Projekt einrichten, müssen Sie die private Verbindung für Ereignisabonnements aktivieren, um die Ereignisabonnementfunktion für das Projekt zu verwenden.

Hinweis

Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Konfigurieren von VPC Service Controls-Perimetern haben. Eine Liste der IAM-Rollen, die zum Konfigurieren von VPC Service Controls erforderlich sind, finden Sie unter Zugriffssteuerung mit IAM in der Dokumentation zu VPC Service Controls.

VPC Service Controls-Perimeter erstellen

Zum Erstellen eines VPC Service Controls-Perimeters können Sie entweder den Befehl Google Cloud console, den Befehl gcloud oder die API accessPolicies.servicePerimeters.create verwenden. Weitere Informationen finden Sie unter Dienstperimeter aktualisieren.

In den folgenden Schritten wird gezeigt, wie Sie mithilfe der gcloud-Befehle einen VPC Service Controls-Perimeter mit aktiviertem Nutzerzugriff erstellen.

  1. Erstellen Sie eine access.yaml-Datei mit den Details des Nutzers, der auf den Perimeter zugreifen darf. Beispiel: 
    - members:
    - user:USER_EMAIL
  2. Rufen Sie die Zugriffsrichtlinien-ID Ihrer Organisation mit dem folgenden Befehl ab:
    3. gcloud access-context-manager policies list --organization=ORGANIZATION_ID

    Mit diesem Befehl werden alle Richtlinien für die Organisation aufgelistet. Wählen Sie in der Liste die Richtlinie aus, für die Sie den VPC Service Controls-Perimeter erstellen möchten.

    Sie können die Ressourcen-ID Ihrer Organisation in der Google Cloud Console aufrufen. Weitere Informationen finden Sie unter Ressourcen-ID der Organisation abrufen.

  3. Erstellen Sie eine Zugriffsebene für den Nutzer. 
    gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
--title "CUSTOM_TITLE" \
--basic-level-spec access.yaml \
--policy=POLICY_ID

    In diesem Befehl ist POLICY_ID der Wert, den Sie im vorherigen Schritt erhalten haben.

  4. Legen Sie in den globalen Einstellungen Ihres Google Cloud-Projekts den Wert des Attributs vpcsc auf true fest. 
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": true}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

    Dieser Befehl gibt eine Vorgangs-ID zurück und startet einen Vorgang mit langer Ausführungszeit, der einige Zeit dauern kann. Warten Sie, bis die LRO abgeschlossen ist. Sie können den Fortschritt des Vorgangs mit dem folgenden Befehl verfolgen:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
  5. Erstellen Sie den VPC Service Controls-Perimeter und gewähren Sie dem Nutzer Zugriff. 
    gcloud access-context-manager perimeters create PERIMETER_NAME \
--title="PERIMETER_TITLE" \
--resources=projects/PROJECT_ID \
--restricted-services=connectors.googleapis.com \
--access_levels=ACCESS_LEVEL_NAME

    Die Ausführung dieses Befehls kann einige Zeit in Anspruch nehmen. In der Zwischenzeit können Sie andere Aufgaben in einem neuen Terminal ausführen.

    Wenn Sie die Zugriffsebene aktualisieren und den connectors.googleapis.com-Dienst einem vorhandenen Perimeter hinzufügen möchten, führen Sie den folgenden Befehl aus: 
    gcloud access-context-manager perimeters update PERIMETER_NAME \
--add-restricted-services="connectors.googleapis.com" \
--add-access-levels=ACCESS_LEVEL_NAME \
--policy=POLICY_ID

Perimeter prüfen

Verwenden Sie den Befehl gcloud access-context-manager perimeters describe PERIMETER_NAME, um den Perimeter zu prüfen. Beispiel:

gcloud access-context-manager perimeters describe PERIMETER_NAME

Weitere Informationen finden Sie unter Dienstperimeter verwalten.

Projekt aus dem VPC Service Controls-Perimeter entfernen

So entfernen Sie Ihr Google Cloud-Projekt aus dem VPC Service Controls-Perimeter:

  1. Legen Sie in den globalen Einstellungen Ihres Google Cloud-Projekts den Wert des Attributs vpcsc auf false fest. 
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": false}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

    Dieser Befehl gibt eine Vorgangs-ID zurück und startet einen Vorgang mit langer Ausführungszeit, der einige Zeit dauern kann. Warten Sie, bis die LRO abgeschlossen ist. Sie können den Fortschritt des Vorgangs mit dem folgenden Befehl verfolgen:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
  2. Entfernen Sie Ihr Projekt aus dem VPC Service Controls-Perimeter. 
    gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME

Nächste Schritte

Informieren Sie sich darüber, wie VPC Service Controls Ihre Daten schützt.