Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire la sicurezza per i producer Private Service Connect

Questa pagina descrive come i producer di servizi possono implementare la sicurezza per le organizzazioni e i progetti producer che utilizzano Private Service Connect.

Le liste di accettazione dei consumer consentono ai proprietari dei servizi di specificare le reti o i progetti che possono connettersi ai singoli collegamenti di servizio. I criteri dell'organizzazione controllano anche l'accesso agli allegati di servizio, ma consentono agli amministratori di rete di controllare in modo generale l'accesso a tutti gli allegati di servizio di un'organizzazione.

Gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione sono complementari e possono essere utilizzati insieme. In questo caso, una connessione Private Service Connect viene creata solo se è autorizzata da entrambi questi meccanismi di sicurezza.

Ruoli

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Policy dell'organizzazione del produttore

Puoi utilizzare i vincoli di elenco con i criteri dell'organizzazione per controllare quali endpoint e backend possono connettersi ai collegamenti di servizio Private Service Connect.compute.restrictPrivateServiceConnectConsumer Se un endpoint o un backend viene rifiutato da un criterio dell'organizzazione producer, la creazione della risorsa ha esito positivo, ma la connessione entra nello stato rifiutato.

Per saperne di più, consulta Policy dell'organizzazione lato produttore.

Rifiutare le connessioni da endpoint e backend non autorizzati

Risorse: endpoint e backend

gcloud

Crea un file temporaneo denominato /tmp/policy.yaml per archiviare la nuova norma. Aggiungi i seguenti contenuti al file:
```
name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER
```
Sostituisci quanto segue:
- PRODUCER_ORG: l'ID organizzazione dell'organizzazione producer a cui vuoi controllare l'accesso Private Service Connect consumer.
- CONSUMER_ORG_NUMBER: l'ID risorsa numerico dell'organizzazione consumer a cui vuoi consentire di connettersi agli allegati di servizio nell'organizzazione producer.
Per specificare altre organizzazioni che possono connettersi agli allegati di servizio nel tuo progetto, includi altre voci nella sezione allowedValues.

Oltre alle organizzazioni, puoi specificare cartelle e progetti autorizzati nel seguente formato:
- under:folders/FOLDER_ID
  
  FOLDER_ID deve essere l'ID numerico.
- under:projects/PROJECT_ID
  
  PROJECT_ID deve essere l'ID stringa.
Ad esempio, il seguente file mostra una configurazione dei criteri dell'organizzazione che rifiuta le connessioni dagli endpoint o dai backend agli allegati di servizio in Producer-org-1, a meno che non siano associati a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazione Consumer-org-1, il progetto Consumer-project-1 e la cartella Consumer-folder-1.
```
name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1
```

Applica il criterio.

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza la policy in vigore.

gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Elenchi di accettazione e rifiuto dei consumatori

Risorse: endpoint e backend

Gli elenchi di accettazione e rifiuto dei consumer sono associati ai collegamenti di servizio. Queste liste ti consentono di accettare o negare esplicitamente le connessioni da progetti o reti consumer.

Per saperne di più, vedi Elenchi di accettazione e rifiuto dei consumatori.

Interazione tra le liste di accettazione e le policy dell'organizzazione

Gli elenchi di accettazione dei consumer e i criteri dell'organizzazione controllano se è possibile stabilire una connessione tra due risorse Private Service Connect. Le connessioni vengono bloccate se un elenco di accettazione o un criterio dell'organizzazione nega la connessione.

Ad esempio, un criterio con il vincolo restrictPrivateServiceConnectConsumer può essere configurato per bloccare le connessioni provenienti dall'esterno dell'organizzazione del producer. Anche se un service attachment è configurato per accettare automaticamente tutte le connessioni, i criteri dell'organizzazione bloccano comunque le connessioni provenienti dall'esterno dell'organizzazione del produttore. Ti consigliamo di utilizzare sia le liste consentite sia i criteri dell'organizzazione per fornire una sicurezza a più livelli.

Configurare gli elenchi di accettazione e rifiuto

Per informazioni su come creare un nuovo collegamento del servizio con elenchi di accettazione o rifiuto dei consumer, consulta Pubblicare un servizio con l'approvazione esplicita del progetto.

Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto dei consumer, vedi Gestire le richieste di accesso a un servizio pubblicato.