Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire la sicurezza per i consumer di Private Service Connect

Questa pagina descrive in che modo i consumatori di servizi possono configurare la sicurezza per le organizzazioni consumer e le reti VPC che utilizzano Private Service Connect.

I Criteri dell'organizzazione consentono agli amministratori di controllare in modo generale a quali reti VPC o organizzazioni possono connettersi i loro progetti utilizzando gli endpoint e i backend di Private Service Connect. Le regole firewall VPC e i criteri firewall consentono agli amministratori di rete di controllare l'accesso a livello di rete alle risorse Private Service Connect. I criteri dell'organizzazione e le regole firewall sono complementari e possono essere utilizzati insieme.

Ruoli

Per ottenere le autorizzazioni necessarie per gestire le norme dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore delle norme dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ottenere le autorizzazioni necessarie per creare regole firewall, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete Compute (roles/compute.networkAdmin) nella rete VPC. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Criteri dell'organizzazione consumer

Puoi utilizzare i criteri dell'organizzazione con i vincoli di elenco per controllare il deployment di endpoint o backend Private Service Connect. Se un endpoint o un backend è bloccato da un criterio dell'organizzazione di consumatori, la creazione della risorsa non va a buon fine.

Per ulteriori informazioni, consulta Criteri dell'organizzazione per i consumatori.

Bloccare i collegamenti degli endpoint e dei backend ai componenti aggiuntivi di servizi non autorizzati

Risorse: endpoint e backend

gcloud

Crea un file temporaneo denominato /tmp/policy.yaml per archiviare il nuovo regola. Aggiungi i seguenti contenuti al file:
```
name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/PRODUCER_ORG_NUMBER
        - under:organizations/433637338589
```
Sostituisci quanto segue:
- CONSUMER_ORG: il ID risorsa dell'organizzazione dell'organizzazione in cui vuoi controllare le connessioni di endpoint e backend.
- PRODUCER_ORG_NUMBER: l'ID risorsa numerica dell'organizzazione di produzione a cui vuoi consentire il collegamento di endpoint e backend.
Per impedire a endpoint e backend di connettersi agli allegati dei servizi di proprietà di Google, rimuovi il seguente elemento dalla sezione allowedValues: - under:organizations/433637338589.

Per specificare altre organizzazioni che possono collegarsi agli allegati del servizio nel tuo progetto, includi voci aggiuntive nella sezione allowedValues.

Oltre alle organizzazioni, puoi specificare le cartelle e i progetti autorizzati nel seguente formato:
- under:folders/FOLDER_ID
  
  FOLDER_ID deve essere l'ID numerico.
- under:projects/PROJECT_ID
  
  PROJECT_ID deve essere l'ID stringa.
Ad esempio, quanto segue può essere utilizzato per creare un criterio di organizzazione che blocchi i collegamenti degli endpoint e dei backend in Consumer-org-1 agli allegati di servizio, a meno che questi ultimi non siano associati a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazione Producer-org-1, il progetto Producer-project-1 e la cartella Producer-folder-1.
```
name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer
spec:
    rules:
      - values:
          allowedValues:
          - under:organizations/Producer-org-1
          - under:projects/Producer-project-1
          - under:folders/Producer-folder-1
```

Applica il criterio.

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza il criterio in vigore.

gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

Impedire ai consumatori di eseguire il deployment degli endpoint in base al tipo di connessione

Risorse: endpoint

gcloud

Crea un file temporaneo denominato /tmp/policy.yaml per archiviare il nuovo regola.
- Per impedire agli utenti di un'organizzazione consumer di creare endpoint che si connettono alle API di Google, aggiungi i seguenti contenuti al file:
```
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
spec:
  rules:
    - values:
        allowedValues:
        - SERVICE_PRODUCERS
```
- Per impedire agli utenti di un'organizzazione consumer di creare endpoint che si connettono ai servizi pubblicati, aggiungi i seguenti contenuti al file:
```
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
spec:
  rules:
    - values:
        allowedValues:
        - GOOGLE_APIS
```
Sostituisci CONSUMER_ORG con il nome dell'organizzazione consumer per la quale vuoi controllare il deployment degli endpoint.

Applica il criterio.

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza il criterio in vigore.

gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

Regole firewall

Risorse: tutte

Puoi utilizzare le regole firewall VPC o i criteri firewall per controllare l'accesso alle risorse Private Service Connect. Le regole firewall in uscita possono bloccare o consentire l'accesso dalle istanze VM all'indirizzo IP o alla sottorete di endpoint e backend.

Ad esempio, la figura 1 descrive una configurazione in cui le regole del firewall controllano l'accesso alla subnet a cui è collegato l'endpoint Private Service Connect.

Le regole firewall controllano il traffico verso la subnet dell'endpoint. Il traffico da `vm-1` può raggiungere la subnet dell'endpoint, mentre il traffico da `vm-2` è bloccato (fai clic per ingrandire).

La seguente regola firewall nega tutto il traffico in uscita alla sottorete dell'endpoint:

gcloud compute firewall-rules create deny-all \
    --network=vpc-1 \
    --direction=egress \
    --action=deny \
    --destination-ranges=10.33.0.0/24
    --priority=1000

La seguente regola firewall con priorità più elevata consente il traffico in uscita alla subnet dell'endpoint per le VM con il tag di rete allow-psc:

gcloud compute firewall-rules create allow-psc \
    --network=vpc-1 \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=10.33.0.0/24
    --priority=100

Utilizzare le regole firewall per limitare l'accesso a endpoint o backend

Per limitare l'accesso dalle VM alla sottorete di un endpoint o di un backend, procedi come segue.

Crea una regola del firewall per negare il traffico in uscita all'endpoint o alla subnet di backend.
```
gcloud compute firewall-rules create deny-all \
    --network=NETWORK \
    --direction=egress \
    --action=deny \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=1000
```
Sostituisci quanto segue:
- NETWORK: il nome della rete del tuo endpoint o del tuo backend.
- ENDPOINT_SUBNET_RANGE: l'intervallo CIDR IP dell'endpoint o della subnet di backend a cui vuoi controllare l'accesso.

Crea una seconda regola del firewall per consentire il traffico in uscita dalle VM taggate all'endpoint o alla subnet di backend.

gcloud compute firewall-rules create allow-psc \
    --network=NETWORK \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=100