Mengelola konfigurasi uji coba

Halaman ini menjelaskan cara mengelola konfigurasi uji coba untuk perimeter layanan Anda. Untuk informasi tentang cara mengelola perimeter layanan secara umum, lihat Mengelola perimeter layanan.

Sebelum memulai

Menerapkan konfigurasi uji coba

Jika sudah puas dengan konfigurasi uji coba untuk perimeter layanan, Anda dapat menerapkan konfigurasi tersebut. Saat diberlakukan, konfigurasi uji coba akan menggantikan konfigurasi yang saat ini diterapkan untuk perimeter, jika ada. Jika versi perimeter yang diterapkan tidak ada, konfigurasi uji coba akan digunakan sebagai konfigurasi awal yang diterapkan untuk perimeter.

Setelah Anda memperbarui perimeter layanan, mungkin perlu waktu hingga 30 menit agar perubahan diterapkan dan berlaku. Selama waktu ini, perimeter mungkin memblokir permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.

Konsol

  1. Di menu navigasi konsol Google Cloud , klik Security, lalu klik VPC Service Controls.

    Buka halaman Kontrol Layanan VPC

  2. Di halaman VPC Service Controls, klik Dry run mode.

  3. Dalam daftar perimeter layanan, klik nama perimeter layanan yang ingin Anda terapkan.

  4. Di halaman Detail perimeter layanan, klik Terapkan konfigurasi.

  5. Saat diminta untuk mengonfirmasi bahwa Anda ingin menimpa konfigurasi yang diterapkan yang ada, klik Konfirmasi.

gcloud

Anda dapat menggunakan alat command line gcloud untuk menerapkan konfigurasi dry run untuk setiap perimeter, serta untuk semua perimeter secara bersamaan.

Menerapkan satu konfigurasi uji coba

Untuk menerapkan konfigurasi uji coba untuk perimeter tunggal, gunakan perintah dry-run enforce:

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

Dengan keterangan:

  • PERIMETER_NAME adalah nama perimeter layanan yang detailnya ingin Anda dapatkan.

  • POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.

Menerapkan semua konfigurasi uji coba

Untuk menerapkan konfigurasi uji coba untuk semua perimeter Anda, gunakan perintah dry-run enforce-all:

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

Dengan keterangan:

  • PERIMETER_NAME adalah nama perimeter layanan yang detailnya ingin Anda dapatkan.

  • ETAG adalah string yang mewakili versi target kebijakan akses organisasi Anda. Jika Anda tidak menyertakan tag, operasi enforce-all akan menargetkan versi terbaru kebijakan akses organisasi Anda.

    Untuk mendapatkan etag terbaru kebijakan akses Anda, list kebijakan akses Anda.

  • POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.

API

Untuk menerapkan konfigurasi uji coba untuk semua perimeter Anda, panggil accessPolicies.servicePerimeters.commit.

Memperbarui konfigurasi uji coba

Saat memperbarui konfigurasi uji coba, Anda dapat mengubah daftar layanan, project, dan layanan yang dapat diakses VPC, di antara fitur perimeter lainnya.

Setelah Anda memperbarui perimeter layanan, mungkin perlu waktu hingga 30 menit agar perubahan diterapkan dan berlaku. Selama waktu ini, perimeter mungkin memblokir permintaan dengan pesan error berikut: Error 403: Request is prohibited by organization's policy.

Konsol

  1. Di menu navigasi konsol Google Cloud , klik Security, lalu klik VPC Service Controls.

    Buka halaman Kontrol Layanan VPC

  2. Di halaman VPC Service Controls, klik Dry run mode.

  3. Dalam daftar perimeter layanan, klik nama perimeter layanan yang ingin Anda edit.

  4. Di halaman Detail perimeter layanan, klik Edit.

  5. Di halaman Edit service perimeter, buat perubahan pada konfigurasi uji coba perimeter layanan.

  6. Klik Simpan.

gcloud

Untuk menambahkan project baru ke perimeter, gunakan perintah dry-run update dan tentukan resource yang akan ditambahkan:

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=RESOURCES \
  [--policy=POLICY_NAME]

Dengan keterangan:

  • PERIMETER_NAME adalah nama perimeter layanan yang detailnya ingin Anda dapatkan.

  • RESOURCES adalah daftar yang dipisahkan koma dari satu atau beberapa nomor project atau nama jaringan VPC. Misalnya: projects/12345 atau //compute.googleapis.com/projects/my-project/global/networks/vpc1. Hanya project dan jaringan VPC yang diizinkan. Format project: projects/<project_number>. Format VPC: //compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.

  • POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.

Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah dry-run update dan tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

Dengan keterangan:

  • PERIMETER_NAME adalah nama perimeter layanan yang detailnya ingin Anda dapatkan.

  • SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan. Misalnya: storage.googleapis.com atau storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.

Mengidentifikasi permintaan yang diblokir

Setelah membuat konfigurasi uji coba, Anda dapat meninjau log untuk mengidentifikasi tempat konfigurasi uji coba akan menolak akses ke layanan jika diterapkan.

Konsol

  1. Di Google Cloud menu navigasi konsol, klik Logging, lalu klik Logs Explorer.

    Buka Logs Explorer

  2. Di kolom Query, masukkan filter kueri seperti filter berikut, lalu klik Run query.

    log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"

  3. Lihat log di bagian Query results.

gcloud

Untuk melihat log menggunakan gcloud CLI, jalankan perintah seperti berikut:

gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'