Gestionar la seguridad de los productores de Private Service Connect
En esta página se describe cómo pueden implementar la seguridad los productores de servicios para las organizaciones y los proyectos de productores que usan Private Service Connect.
Las listas de aceptación de consumidores permiten a los propietarios de servicios especificar las redes o los proyectos que pueden conectarse a vinculaciones de servicio concretas. Las políticas de la organización también controlan el acceso a los archivos adjuntos de los servicios, pero permiten que los administradores de la red controlen de forma general el acceso a todos los archivos adjuntos de los servicios de una organización.
Las listas de aceptación de consumidores y las políticas de la organización son complementarias y se pueden usar juntas. En este caso, una conexión de Private Service Connect solo se crea si ambos mecanismos de seguridad la autorizan.
Roles
Para obtener los permisos que necesitas para gestionar las políticas de la organización, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Políticas de organización de productores
Puedes usar políticas de organización con la
compute.restrictPrivateServiceConnectConsumer
restricción de lista para controlar qué endpoints y backends pueden
conectarse a los adjuntos de servicio de Private Service Connect. Si una política de una organización productora rechaza un endpoint o un backend, el recurso se creará correctamente, pero la conexión pasará al estado de rechazo.
Para obtener más información, consulta Políticas de organización del lado del productor.
Rechazar conexiones de endpoints y backends no autorizados
Recursos: endpoints y backends
gcloud
Crea un archivo temporal llamado
/tmp/policy.yamlpara almacenar la nueva política. Añade el siguiente contenido al archivo:name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/CONSUMER_ORG_NUMBERHaz los cambios siguientes:
PRODUCER_ORG: el ID de la organización de la organización productora a la que quieres controlar el acceso de Private Service Connect de los consumidores.CONSUMER_ORG_NUMBER: el ID de recurso numérico de la organización de consumidor que quiere permitir que se conecte a los adjuntos de servicio de la organización de productor.
Para especificar otras organizaciones que puedan conectarse a los adjuntos de servicio de tu proyecto, incluye entradas adicionales en la sección
allowedValues.Además de organizaciones, puede especificar carpetas y proyectos autorizados con el siguiente formato:
under:folders/FOLDER_IDEl
FOLDER_IDdebe ser el ID numérico.under:projects/PROJECT_IDEl
PROJECT_IDdebe ser el ID de la cadena.
Por ejemplo, el siguiente archivo muestra una configuración de una política de organización que rechaza las conexiones de endpoints o back-ends a los adjuntos de servicio de
Producer-org-1, a menos que estén asociados a un valor permitido o a un elemento descendiente de un valor permitido. Los valores permitidos son la organizaciónConsumer-org-1, el proyectoConsumer-project-1y la carpetaConsumer-folder-1.name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/Consumer-org-1 - under:projects/Consumer-project-1 - under:folders/Consumer-folder-1Aplica la política.
gcloud org-policies set-policy /tmp/policy.yaml
Consulta la política que está en vigor.
gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \ --effective \ --organization=PRODUCER_ORG
Listas de aceptación y rechazo de consumidores
Recursos: endpoints y backends
Las listas de aceptación y rechazo de consumidores están asociadas a los archivos adjuntos de servicio. Estas listas te permiten aceptar o rechazar explícitamente las conexiones de proyectos o redes de consumidor.
Para obtener más información, consulta el artículo Listas de aceptación y rechazo de consumidores.
Interacción entre listas de elementos permitidos y políticas de la organización
Tanto las listas de aceptación de consumidores como las políticas de la organización controlan si se puede establecer una conexión entre dos recursos de Private Service Connect. Las conexiones se bloquean si una lista de permitidos o una política de la organización deniega la conexión.
Por ejemplo, una política con la restricción restrictPrivateServiceConnectConsumer se puede configurar para bloquear las conexiones que procedan de fuera de la organización del productor. Aunque un adjunto de servicio esté configurado para aceptar automáticamente todas las conexiones, la política de la organización sigue bloqueando las conexiones que procedan de fuera de la organización del productor. Te recomendamos que uses tanto listas de aceptación como políticas de la organización para proporcionar una seguridad por capas.
Configurar listas de aprobados y bloqueados
Para obtener información sobre cómo crear un nuevo adjunto de servicio que tenga listas de aceptación o rechazo de consumidores, consulta Publicar un servicio con aprobación explícita del proyecto.
Para obtener información sobre cómo actualizar las listas de aceptación o rechazo de consumidores, consulta Gestionar solicitudes de acceso a un servicio publicado.