Configura los Controles del servicio de VPC para Integration Connectors
Los Controles del servicio de VPC permiten definir un perímetro de seguridad el servicio Integration Connectors de Google Cloud. Con el perímetro de seguridad alrededor de tu servicio, puedes restringir los datos dentro de un perímetro de Controles del servicio de VPC y mitigar los riesgos de robo de datos. Si aún no estás familiarizado con los Controles del servicio de VPC, te recomendamos que revises la siguiente información:
- Descripción general de los Controles del servicio de VPC
- Configuración y detalles del perímetro de servicio
- Otorga acceso a los Controles del servicio de VPC
En este documento, se describe cómo restringir el acceso al servicio de Integration Connectors (connectors.googleapis.com)
con el perímetro de los Controles del servicio de VPC. Después de configurar el perímetro, puedes configurar políticas que determinen qué otros servicios o usuarios de Google Cloud pueden acceder al servicio de connectors.googleapis.com.
Consideraciones
- Si tu conexión se conecta a un recurso de Google Cloud, se debe poder acceder a ese recurso desde el perímetro de los Controles del servicio de VPC.
- Si ya tienes conexiones a un extremo público, antes de configurar de los Controles del servicio de VPC, asegúrate de que esas conexiones usen el PSC (Private Service Connect) adjunto para conectar los sistemas de backend. Sin el adjunto de PSC, las conexiones existentes a un extremo público fallará después de que configures el perímetro de los Controles del servicio de VPC.
- Si tu conexión se conecta a un recurso ajeno a Google Cloud, el destino del debe ser un archivo adjunto de PSC. Las conexiones creadas sin el archivo adjunto de PSC fallarán.
- Si configuras un perímetro de Controles del servicio de VPC para tu proyecto de Google Cloud, no puedes usar la función de suscripción al evento para el proyecto.
Antes de comenzar
Asegúrate de tener los permisos necesarios para configurar los perímetros de los Controles del servicio de VPC. Si deseas ver una lista de las funciones de IAM necesarias para configurar los Controles del servicio de VPC, consulta Control de acceso con IAM en la documentación de los Controles del servicio de VPC.Crea un perímetro de Controles del servicio de VPC
Para crear un perímetro de Controles del servicio de VPC, puedes usar Google Cloud console,
o con el comando gcloud o la API accessPolicies.servicePerimeters.create.
Para obtener más información, consulta Crea un perímetro de servicio.
En los siguientes pasos, se muestra cómo crear un perímetro de los Controles del servicio de VPC con un acceso de usuario habilitado mediante
los comandos gcloud
- Crea un archivo
access.yamlcon los detalles del usuario permitido. para acceder al perímetro. Por ejemplo:- members: - user:USER_EMAIL
- Obtén el ID de la política de acceso de tu organización con el siguiente comando:
- Crea un nivel de acceso para el usuario.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
En este comando, POLICY_ID, es el valor que obtuviste en el paso anterior.
- En la configuración global del proyecto de Google Cloud, establece el valor del atributo
vpcscentrue.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsEste comando muestra un ID de operación y, luego, inicia una operación de larga duración (LRO), que puede tardar un tiempo en completarse. Espera a que se complete la LRO. Puedes realizar un seguimiento del progreso la operación con el siguiente comando:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Crear el perímetro de los Controles del servicio de VPC y proporcionar acceso al usuario
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
Este comando tarda un tiempo en completarse, durante el cual puedes ejecutar otras tareas en una nueva terminal.
Si deseas actualizar el nivel de acceso y agregar el servicioconnectors.googleapis.coma en un perímetro existente, ejecuta el siguiente comando:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Este comando enumera todas las políticas de la organización. En la lista, selecciona la política para la que quieres crear el perímetro de los Controles del servicio de VPC.
Puedes ver el ID de recurso de tu organización con la consola de Google Cloud. Para obtener más información, consulta Obtén el ID de recurso de tu organización.
Verifica tu perímetro
Para verificar el perímetro, usa el comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Por ejemplo:
gcloud access-context-manager perimeters describe PERIMETER_NAME
Para obtener más información, consulta Administra perímetros de servicio.
Quita un proyecto del perímetro de los Controles del servicio de VPC
Para quitar tu proyecto de Google Cloud del perímetro de los Controles del servicio de VPC, sigue estos pasos:
- En la configuración global del proyecto de Google Cloud, establece el valor del atributo
vpcscenfalse.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsEste comando muestra un ID de operación y, luego, inicia una operación de larga duración (LRO), que puede tardar un tiempo en completarse. Espera a que se complete la LRO. Puedes hacer un seguimiento del progreso de la operación con el siguiente comando:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Quita tu proyecto del perímetro de los Controles del servicio de VPC.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME