Configurer VPC Service Controls pour Integration Connectors
VPC Service Controls vous permet de définir un périmètre de sécurité autour du service Google Cloud Integration Connectors. Avec le périmètre de sécurité autour de votre service, vous pouvez limiter les données dans un périmètre VPC Service Controls et réduire les risques d'exfiltration des données. Si vous ne connaissez pas encore VPC Service Controls, nous vous recommandons de lire les informations suivantes :
- Présentation de VPC Service Controls
- Périmètres de service : détails et configuration
- Accorder l'accès à VPC Service Controls
Ce document explique comment limiter l'accès au service Integration Connectors (connectors.googleapis.com) à l'aide du périmètre VPC Service Controls. Après avoir configuré le périmètre, vous pouvez définir des règles qui déterminent les autres utilisateurs ou services Google Cloud pouvant accéder au service connectors.googleapis.com.
Remarques
- Si votre connexion est établie avec une ressource Google Cloud, celle-ci doit être accessible depuis le périmètre VPC Service Controls.
- Si vous disposez déjà de connexions à un point de terminaison public, avant de configurer le périmètre VPC Service Controls, assurez-vous que ces connexions utilisent le rattachement PSC (Private Service Connect) pour connecter les systèmes backend. Sans le rattachement PSC, les connexions existantes à un point de terminaison public échoueront après la configuration du périmètre VPC Service Controls.
- Si votre connexion est établie avec une ressource autre que Google Cloud, la destination de la connexion doit être un rattachement PSC. Les connexions créées sans le rattachement PSC échoueront.
- Si vous configurez un périmètre VPC Service Controls pour votre projet Google Cloud, vous devez activer la connectivité privée pour les abonnements aux événements afin d'utiliser la fonctionnalité d'abonnement aux événements pour le projet.
Avant de commencer
Assurez-vous que vous disposez des autorisations requises pour configurer des périmètres VPC Service Controls. Pour afficher la liste des rôles IAM nécessaires pour configurer VPC Service Controls, consultez Contrôle des accès avec IAM dans la documentation VPC Service Controls.Créer un périmètre VPC Service Controls
Pour créer un périmètre VPC Service Controls, vous pouvez utiliser la Google Cloud console, la commande gcloud ou l'API accessPolicies.servicePerimeters.create.
Pour en savoir plus, consultez Créer un périmètre de service.
Les étapes suivantes montrent comment créer un périmètre VPC Service Controls avec un accès utilisateur activé à l'aide des commandes gcloud.
- Créez un fichier
access.yamlcontenant les informations sur l'utilisateur autorisé à accéder au périmètre. Exemple :- members: - user:USER_EMAIL
- Obtenez l'ID de règle d'accès de votre organisation à l'aide de la commande suivante :
- Créez un niveau d'accès pour l'utilisateur.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
Dans cette commande, POLICY_ID correspond à la valeur que vous avez obtenue à l'étape précédente.
- Dans les paramètres généraux de votre projet Google Cloud, définissez la valeur de l'attribut
vpcscsurtrue.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsCette commande renvoie un ID d'opération et lance une opération de longue durée (LRO, Long-running operation), dont l'exécution peut prendre un certain temps. Attendez qu'elle soit terminée. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante :
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Créez le périmètre VPC Service Controls et accordez l'accès à l'utilisateur.
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
L'exécution de cette commande prend un certain temps. En attendant, vous pouvez exécuter d'autres tâches dans un nouveau terminal.
Si vous souhaitez modifier le niveau d'accès et ajouter le serviceconnectors.googleapis.comà un périmètre existant, exécutez la commande suivante :gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Cette commande liste toutes les règles de l'organisation. Dans la liste, sélectionnez la règle pour laquelle vous souhaitez créer le périmètre VPC Service Controls.
Vous pouvez afficher l'ID de ressource de votre organisation à l'aide de la console Google Cloud. Pour en savoir plus, consultez Obtenir l'ID de ressource de votre organisation.
Vérifier votre périmètre
Pour vérifier le périmètre, exécutez la commande gcloud access-context-manager perimeters describe PERIMETER_NAME. Exemple :
gcloud access-context-manager perimeters describe PERIMETER_NAME
Pour en savoir plus, consultez Gérer les périmètres de service.
Supprimer un projet du périmètre VPC Service Controls
Pour supprimer votre projet Google Cloud du périmètre VPC Service Controls, procédez comme suit :
- Dans les paramètres généraux de votre projet Google Cloud, définissez la valeur de l'attribut
vpcscsurfalse.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsCette commande renvoie un ID d'opération et lance une opération de longue durée (LRO, Long-running operation), dont l'exécution peut prendre un certain temps. Attendez qu'elle soit terminée. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante :
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Supprimez votre projet du périmètre VPC Service Controls.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME