Configurar Controles de Servicio de VPC para Integration Connectors

Controles de Servicio de VPC te permite definir un perímetro de seguridad en torno al servicio de Google Cloud Integration Connectors. Con el perímetro de seguridad de tu servicio, puedes acotar los datos a un perímetro de Controles de Servicio de VPC y mitigar el riesgo de filtración externa de datos. Si aún no conoces Controles de Servicio de VPC, te recomendamos que consultes la siguiente información:

En este documento se describe cómo restringir el acceso al servicio Integration Connectors (connectors.googleapis.com) mediante el perímetro de Controles de Servicio de VPC. Después de configurar el perímetro, puedes definir políticas que determinen a qué otros servicios o usuarios de Google Cloud pueden acceder al servicio connectors.googleapis.com.

Cuestiones importantes

  • Si tu conexión se establece con un recurso de Google Cloud, ese recurso debe ser accesible desde el perímetro de Controles de Servicio de VPC.
  • Si tienes conexiones a un endpoint público, antes de configurar el perímetro de Controles de Servicio de VPC, asegúrate de que esas conexiones usen el adjunto de PSC (Private Service Connect) para conectar los sistemas backend. Sin la conexión de PSC, las conexiones a un endpoint público fallarán después de configurar el perímetro de Controles de Servicio de VPC.
  • Si tu conexión se conecta a un recurso que no es de Google Cloud, el destino de la conexión debe ser un adjunto de PSC. Las conexiones creadas sin el archivo adjunto de PSC fallarán.
  • Si vas a configurar un perímetro de Controles de Servicio de VPC para tu proyecto de Google Cloud, debes habilitar la conectividad privada para las suscripciones a eventos si quieres usar la función de suscripción a eventos del proyecto.

Antes de empezar

Asegúrate de que tienes los permisos necesarios para configurar los perímetros de Controles de Servicio de VPC. Para ver una lista de los roles de gestión de identidades y accesos necesarios para configurar Controles de Servicio de VPC, consulta la sección Control de acceso con IAM en la documentación de Controles de Servicio de VPC.

Crear un perímetro de Controles de Servicio de VPC

Para crear un perímetro de Controles de Servicio de VPC, puedes usar el comando Google Cloud console o gcloud, o bien la API accessPolicies.servicePerimeters.create. Para obtener más información, consulta Crear un perímetro de servicio.

En los siguientes pasos se muestra cómo crear un perímetro de Controles de Servicio de VPC con acceso de usuario habilitado mediante los comandos gcloud.

  1. Crea un archivo access.yaml con los detalles del usuario que tiene permiso para acceder al perímetro. Por ejemplo: 
    - members:
    - user:USER_EMAIL
  2. Obtén el ID de la política de acceso de tu organización con el siguiente comando:
    3. gcloud access-context-manager policies list --organization=ORGANIZATION_ID

    Este comando muestra todas las políticas de la organización. En la lista, selecciona la política para la que quieras crear el perímetro de Controles de Servicio de VPC.

    Para ver el ID de recurso de tu organización, usa la consola de Google Cloud. Para obtener más información, consulta el artículo Obtener el ID de recurso de tu organización.

  3. Crea un nivel de acceso para el usuario. 
    gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
--title "CUSTOM_TITLE" \
--basic-level-spec access.yaml \
--policy=POLICY_ID

    En este comando, POLICY_ID es el valor que has obtenido en el paso anterior.

  4. En la configuración global de tu proyecto de Google Cloud, asigna el valor true al atributo vpcsc. 
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": true}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

    Este comando devuelve un ID de operación e inicia una operación de larga duración (OLD), que puede tardar un tiempo en completarse. Espera a que se complete la operación de larga duración. Puedes monitorizar el progreso de la operación con el siguiente comando:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
  5. Crea el perímetro de Controles de Servicio de VPC y proporciona acceso al usuario. 
    gcloud access-context-manager perimeters create PERIMETER_NAME \
--title="PERIMETER_TITLE" \
--resources=projects/PROJECT_ID \
--restricted-services=connectors.googleapis.com \
--access_levels=ACCESS_LEVEL_NAME

    Este comando tarda un tiempo en completarse, durante el cual puedes ejecutar otras tareas en un nuevo terminal.

    Si quieres actualizar el nivel de acceso y añadir el servicio connectors.googleapis.com a un perímetro que ya tengas, ejecuta el siguiente comando: 
    gcloud access-context-manager perimeters update PERIMETER_NAME \
--add-restricted-services="connectors.googleapis.com" \
--add-access-levels=ACCESS_LEVEL_NAME \
--policy=POLICY_ID

Verificar el perímetro

Para verificar el perímetro, usa el comando gcloud access-context-manager perimeters describe PERIMETER_NAME. Por ejemplo:

gcloud access-context-manager perimeters describe PERIMETER_NAME

Para obtener más información, consulta el artículo Gestionar perímetros de servicio.

Quitar un proyecto del perímetro de Controles de Servicio de VPC

Para quitar tu proyecto de Google Cloud del perímetro de Controles de Servicio de VPC, sigue estos pasos:

  1. En la configuración global de tu proyecto de Google Cloud, asigna el valor false al atributo vpcsc. 
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": false}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

    Este comando devuelve un ID de operación e inicia una operación de larga duración (OLD), que puede tardar un tiempo en completarse. Espera a que se complete la operación de larga duración. Puedes monitorizar el progreso de la operación con el siguiente comando:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
  2. Quita tu proyecto del perímetro de Controles de Servicio de VPC. 
    gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME

Siguientes pasos

Consulta cómo Controles de Servicio de VPC protege tus datos.