En esta página, se describe cómo crear un perímetro de servicio.
Antes de comenzar
Lee sobre cómo configurar perímetros de servicio.
Obtén información sobre la administración de redes de VPC en perímetros de servicio.
Lee sobre cómo otorgar acceso a los Controles del servicio de VPC.
Si deseas configurar el acceso externo a los servicios protegidos cuando creas el perímetro, crea uno o más niveles de acceso antes de crearlo.
Crea un perímetro de servicio
En esta sección, se describe cómo crear un perímetro de servicio, agregar proyectos o redes de VPC al perímetro y proteger los servicios.
Cuando creas un perímetro de servicio, puedes permitir el acceso a los servicios protegidos en el exterior del perímetro y especificar qué servicios son accesibles a otros servicios y usuarios dentro del perímetro. Si lo prefieres, puedes definir esta configuración después de crear un perímetro.
Después de crear un perímetro de servicio o actualizar uno existente, los cambios pueden tardar hasta 30 minutos en propagarse y surtir efecto. Durante este tiempo, el perímetro podría bloquear las solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Console
En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.
Si se te solicita, selecciona tu organización, carpeta o proyecto.
Selecciona una política de acceso existente o crea una nueva. Asegúrate de que el permiso de la política de acceso incluya todos los proyectos y redes de VPC que deseas agregar al perímetro.
En la página Controles del servicio de VPC, selecciona un modo de perímetro. De forma predeterminada, está seleccionado el Modo de aplicación forzosa. Si deseas crear un perímetro de ejecución de prueba, haz clic en Modo de ejecución de prueba.
Los perímetros de aplicación forzosa evitan el acceso a servicios protegidos de manera activa. Los perímetros de ejecución de prueba registran las infracciones del perímetro como si los servicios estuvieran protegidos, pero no impiden el acceso a esos servicios. Para obtener más información sobre los modos de aplicación forzosa y de ejecución de prueba, lee sobre los perímetros de servicio.
Haz clic en Perímetro nuevo.
En la página Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.
El nombre de un perímetro puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latín ASCII (az, AZ), números (0-9) o guiones bajos (
_
). El nombre del perímetro distingue entre mayúsculas y minúsculas y debe ser único dentro de la política de acceso.Para agregar proyectos o redes de VPC que deseas proteger dentro del perímetro, haz lo siguiente:
Haz clic en Agregar recursos.
Para agregar proyectos al perímetro, en el panel Agregar recursos, haz clic en Agregar proyecto.
Para seleccionar un proyecto, en el diálogo Agregar proyectos, selecciona la casilla de verificación de ese proyecto.
Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecen en la sección Proyectos.
Para agregar redes de VPC al perímetro, en el panel Agregar recursos, haz clic en Agregar red de VPC.
- En la lista de proyectos, haz clic en el proyecto que contiene las redes de VPC.
- Para agregar una red de VPC, en el diálogo Agregar recursos, selecciona la casilla de verificación de esa red de VPC.
- Haz clic en Agregar recursos seleccionados. La red agregada aparecerá en la sección Redes de VPC.
Para seleccionar los servicios que deseas proteger dentro del perímetro, haz lo siguiente:
Haz clic en Servicios restringidos.
En el panel Servicios restringidos, haz clic en Agregar servicios.
Para proteger los servicios dentro del diálogo, en la ventana Especificar los servicios que deseas restringir (Specify services to restrict), selecciona la casilla de verificación de ese servicio.
Haz clic en Agregar n servicios, n es la cantidad de servicios que seleccionaste en el paso anterior.
Si deseas definir qué servicios son accesibles dentro de un perímetro, haz lo siguiente (opcional):
Haz clic en Servicios de VPC accesibles.
En el panel Servicios de VPC accesibles, selecciona Servicios seleccionados.
Para incluir con rapidez todos los servicios restringidos que el perímetro protege a la lista de servicios accesibles, selecciona Incluir todos los servicios restringidos. Esta opción te permite incluir servicios independientes además de los servicios restringidos.
Haz clic en Agregar servicios de VPC accesibles.
También puedes agregar servicios accesibles después de crear un perímetro.
En la página Especifica los servicios accesibles, selecciona el servicio que deseas que sea accesible dentro del perímetro.
Haz clic en Agregar n servicios, n es la cantidad de servicios que seleccionaste en el paso anterior.
Para permitir el acceso a recursos protegidos desde fuera del perímetro mediante niveles de acceso, haz lo siguiente (opcional):
Haz clic en Niveles de acceso.
En el panel Política de entrada: Niveles de acceso, haz clic en el cuadro Selecciona el nivel de acceso.
También puedes agregar niveles de acceso después de crear un perímetro.
Selecciona las casillas de verificación que correspondan a los niveles de acceso que deseas aplicar al perímetro.
Para permitir el acceso a los recursos dentro de un perímetro desde clientes de la API fuera del perímetro, haz lo siguiente:
Haz clic en Política de entrada.
En el panel Reglas de entrada, haz clic en Agregar regla.
Especifica las fuentes fuera del perímetro que requieren acceso en Atributos FROM del cliente de la API. Puedes especificar proyectos, niveles de acceso y redes de VPC como fuentes.
Especifica los recursos dentro del perímetro a los que pueden acceder las fuentes en Atributos de recursos o servicios de Google Cloud.
Para obtener una lista de los atributos de reglas de entrada, consulta la Referencia de reglas de entrada.
Para permitir el acceso que de un cliente de API o recursos dentro del perímetro a recursos fuera de un perímetro, haz lo siguiente:
Haz clic en Política de salida.
En el panel Reglas de salida, haz clic en Agregar regla.
Designa los atributos Desde del cliente de la API y los atributos Hasta de los recursos o servicios de Google Cloud que desees.
Para obtener una lista de los atributos de reglas de salida, consulta Referencia de reglas de salida.
Haz clic en Crear perímetro.
gcloud
Para crear un perímetro nuevo en modo de aplicación forzosa, usa el comando gcloud access-context-manager perimeters create
.
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=RESOURCES \ --restricted-services=RESTRICTED-SERVICES \ --ingress-policies=INGRESS-FILENAME.yaml \ --egress-policies=EGRESS-FILENAME.yaml \ [--access-levels=LEVELS] \ [--enable-vpc-accessible-services] \ [--vpc-allowed-services=ACCESSIBLE-SERVICES] \ --policy=POLICY_NAME
Para crear un perímetro nuevo en modo de ejecución de prueba, usa el comando gcloud access-context-manager perimeters dry-run create
.
gcloud access-context-manager perimeters dry-run create NAME \ --perimeter-title=TITLE \ --perimeter-type=TYPE \ --perimeter-resources=RESOURCES \ --perimeter-restricted-services=RESTRICTED-SERVICES \ --perimeter-ingress-policies=INGRESS-FILENAME.yaml \ --perimeter-egress-policies=EGRESS-FILENAME.yaml \ [--perimeter-access-levels=LEVELS] \ [--perimeter-enable-vpc-accessible-services] \ [--perimeter-vpc-allowed-services=ACCESSIBLE-SERVICES] \ --policy=POLICY_NAME
Reemplaza lo siguiente:
NAME es el nombre del perímetro.
El nombre de un perímetro puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latín ASCII (az, AZ), números (0-9) o guiones bajos (
_
). El nombre del perímetro distingue entre mayúsculas y minúsculas y debe ser único dentro de la política de acceso.TITLE es el título legible del perímetro.
TYPE es el tipo de perímetro. Por ejemplo, un perímetro “normal” o uno de “puente”.
RESOURCES es una lista separada por comas de uno o más números de proyectos o nombres de redes de VPC. Por ejemplo:
projects/12345
o//compute.googleapis.com/projects/my-project/global/networks/vpc1
. Solo se permiten proyectos y redes de VPC. Formato del proyecto:projects/project_number
. Formato de VPC://compute.googleapis.com/projects/project-id/global/networks/network_name
. Si especificas proyectos, solo se admiten los números de proyecto. No puedes usar el nombre o ID del proyecto.RESTRICTED-SERVICES es una lista separada por comas de uno o más servicios. Por ejemplo,
storage.googleapis.com
ostorage.googleapis.com,bigquery.googleapis.com
.INGRESS-FILENAME es un archivo JSON o YAML que contiene los valores de los atributos de origen, identidad, proyecto y servicio. Para obtener una lista de los atributos de reglas de entrada, consulta la Referencia de reglas de entrada.
EGRESS-FILENAME es un archivo JSON o YAML que contiene los valores de atributos de identidad, proyecto y servicio. Para obtener una lista de los atributos de reglas de salida, consulta Referencia de reglas de salida.
POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo,
330193482019
. Solo debes incluir el nombre de la política si no configuraste una política de acceso predeterminada.
Opciones adicionales:
--access-levels
o--perimeter-access-levels
solo es necesario si deseas agregar niveles de acceso cuando creas el perímetro. LEVELS es una lista separada por comas de uno o más niveles de acceso que deseas aplicar al perímetro de servicio.También puedes agregar niveles de acceso después de crear el perímetro.
--enable-vpc-accessible-services
y--vpc-allowed-services
o--perimeter-enable-vpc-accessible-services
y--perimeter-vpc-allowed-services
solo son obligatorios si deseas agregar servicios de VPC accesibles cuando creas el perímetro. ACCESSIBLE-SERVICES es una lista separada por comas de uno o más servicios a los que deseas permitir que las redes dentro del perímetro tengan acceso. Se evitará el acceso a cualquier servicio que no esté incluido en esta lista.Solo puedes hacer que un servicio sea accesible si también lo proteges cuando configuras el perímetro.
A fin de incluir todos los servicios protegidos por un perímetro con rapidez, especifica
RESTRICTED-SERVICES
en la lista para ACCESSIBLE-SERVICES. Por ejemplo,--perimeter-vpc-allowed-services=RESTRICTED-SERVICES
.También puedes definir servicios de VPC accesibles después de crear el perímetro.
Por ejemplo, el siguiente comando crea un perímetro de modo de ejecución de prueba nuevo llamado ProdPerimeter
que incluye proyectos example-project
y example-project2
, y restringe las API de Cloud Storage y de BigQuery.
gcloud access-context-manager perimeters \ dry-run create ProdPerimeter --perimeter-title="Production Perimeter" \ --perimeter-type="regular" \ --perimeter-resources=projects/12345,projects/67890 \ --perimeter-restricted-services=storage.googleapis.com,bigquery.googleapis.com \ --perimeter-ingress-policies=ingress.yaml \ --perimeter-egress-policies=egress.yaml \ --policy=330193482019
API
Para crear un perímetro de servicio, llama a accessPolicies.servicePerimeters.create
.
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters
Donde:
- POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo,
330193482019
.
Cuerpo de la solicitud
El cuerpo de la solicitud debe incluir un recurso ServicePerimeter
que defina el perímetro de servicio.
Para el recurso ServicePerimeter
, especifica PERIMETER_TYPE_REGULAR
en perimeterType
.
Modo de ejecución de prueba
El perímetro propuesto se debe incluir como spec
y useExplicitDryRunSpec
configurados como verdadero.
Cuerpo de la respuesta
Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation
que proporciona detalles sobre la operación POST
.
¿Qué sigue?
- Obtén información para probar el impacto de un perímetro de servicio con el modo de ejecución de prueba.
- Obtén más información para administrar los perímetros de servicio existentes.
- Obtén información para solucionar problemas habituales de los Controles del servicio de VPC.
- Completa este codelab para aprender a proteger los proyectos y sus servicios con los Controles del servicio de VPC.