Probelaufkonfigurationen verwalten

Auf dieser Seite wird beschrieben, wie Sie die Probelaufkonfiguration für Ihre Dienstperimeter verwalten können. Allgemeine Informationen zum Verwalten von Dienstperimetern finden Sie unter Dienstperimeter verwalten.

Hinweis

Probelaufkonfiguration erzwingen

Wenn Sie mit der Probelaufkonfiguration für einen Dienstperimeter zufrieden sind, können Sie diese Konfiguration erzwingen. Wenn eine Probelaufkonfiguration erzwungen wird, ersetzt sie die aktuell erzwungene Konfiguration für einen Perimeter, sofern vorhanden. Wenn keine erzwungene Version des Perimeters existiert, wird die Probelaufkonfiguration als anfängliche erzwungene Konfiguration für den Perimeter verwendet.

Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden. Während dieser Zeit kann der Perimeter Anfragen mit der folgenden Fehlermeldung blockieren: Error 403: Request is prohibited by organization's policy.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite „VPC Service Controls”

  2. Klicken Sie oben auf der Seite VPC Service Controls auf Probelaufmodus.

  3. Klicken Sie in der Liste der Dienstperimeter auf den Namen des Dienstperimeters, den Sie erzwingen möchten.

  4. Klicken Sie auf der Seite VPC-Dienstperimeterdetail im Abschnitt Probelaufkonfiguration auf Erzwingen.

  5. Wenn Sie aufgefordert werden, zu bestätigen, dass Sie die vorhandene erzwungene Konfiguration überschreiben möchten, klicken Sie auf Erzwingen.

gcloud

Mit dem gcloud-Befehlszeilentool können Sie die Probekonfiguration für einen einzelnen Perimeter sowie für alle Perimeter gleichzeitig erzwingen.

Probelaufkonfiguration erzwingen

Verwenden Sie den Befehl dry-run enforce, um die Probelaufkonfiguration für einen einzelnen Perimeter zu erzwingen:

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Alle Probelaufkonfigurationen erzwingen

Verwenden Sie den Befehl dry-run enforce-all, um die Probelaufkonfiguration für alle Perimeter zu erzwingen:

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • ETAG ist ein String, der die Zielversion der Zugriffsrichtlinie Ihrer Organisation darstellt. Wenn Sie kein ETag einfügen, wird die enforce-all-Operation auf die neueste Version der Zugriffsrichtlinie Ihrer Organisation ausgerichtet.

    Listen Sie Ihre Zugriffsrichtlinien auf (list), um das aktuelle ETag Ihrer Zugriffsrichtlinie zu erhalten.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

API

Rufen Sie accessPolicies.servicePerimeters.commit auf, um die Probelaufkonfiguration für alle Perimeter zu erzwingen.

Probelaufkonfiguration aktualisieren

Wenn Sie eine Probelaufkonfiguration aktualisieren, können Sie unter anderem die Liste der Dienste, Projekte und über VPC zugänglichen Dienste ändern.

Nach dem Aktualisieren eines Dienstperimeters kann es bis zu 30 Minuten dauern, bis die Änderungen übernommen und wirksam werden. Während dieser Zeit kann der Perimeter Anfragen mit der folgenden Fehlermeldung blockieren: Error 403: Request is prohibited by organization's policy.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite „VPC Service Controls”

  2. Klicken Sie oben auf der Seite VPC Service Controls auf Probelaufmodus.

  3. Klicken Sie in der Liste der Dienstperimeter auf den Namen des Dienstperimeters, den Sie bearbeiten möchten.

  4. Klicken Sie auf der Seite VPC-Dienstperimeterdetail im Abschnitt Probelaufkonfiguration auf Bearbeiten.

  5. Nehmen Sie auf der Seite VPC-Dienstperimeter bearbeiten die Änderungen an der Probelaufkonfiguration für den Dienstperimeter vor.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl dry-run update und geben Sie die hinzuzufügenden Ressourcen an, um einem Perimeter neue Projekte hinzuzufügen:

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=RESOURCES \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • RESOURCES ist eine durch Kommas getrennte Liste mit einer oder mehreren Projektnummern oder VPC-Netzwerknamen. Beispiel: projects/12345 oder //compute.googleapis.com/projects/my-project/global/networks/vpc1. Nur Projekte und VPC-Netzwerke sind zulässig. Projektformat: projects/<project_number>. VPC-Format: //compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Verwenden Sie zum Aktualisieren der Liste der eingeschränkten Dienste den Befehl dry-run update und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an:

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

Dabei gilt:

  • PERIMETER_NAME ist der Name des Dienstperimeters, zu dem Sie Details abrufen möchten.

  • SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Beispiel: storage.googleapis.com oder storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Blockierte Anfragen identifizieren

Nachdem Sie eine Konfigurationsversion für den Testlauf erstellt haben, können Sie Protokolle prüfen, um zu ermitteln, wo der Zugriff auf Dienste bei Durchsetzung der Konfigurationsversion für den Testlauf verweigert würde.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Logging und dann auf Log-Explorer.

    Zum Log-Explorer

  2. Geben Sie in das Feld Abfrage einen Abfragefilter wie den folgenden ein und klicken Sie auf Abfrage ausführen.

    log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"
    
  3. Sehen Sie sich die Protokolle unter Abfrageergebnisse an.

gcloud

Wenn Sie Protokolle mit der gcloud CLI aufrufen möchten, führen Sie einen Befehl wie den folgenden aus:

gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'