Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire la sicurezza per i producer di Private Service Connect

Questa pagina descrive in che modo i producer di servizi possono implementare la sicurezza per le organizzazioni e i progetti dei producer che utilizzano Private Service Connect.

Le liste di accettazione del consumer consentono ai proprietari di servizi di specificare le reti o i progetti che possono connettersi ai singoli collegamenti di servizio. Anche i Criteri dell'organizzazione controllano l'accesso agli allegati dei servizi, ma consentono agli amministratori di rete di controllare in modo generale l'accesso a tutti gli allegati dei servizi in un'organizzazione.

Gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione sono complementari e possono essere utilizzati insieme. In questo caso, una connessione Private Service Connect viene creata solo se è autorizzata da entrambi questi meccanismi di sicurezza.

Ruoli

Per ottenere le autorizzazioni necessarie per gestire le norme dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore delle norme dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Criteri dell'organizzazione del produttore

Puoi utilizzare i policy dell'organizzazione con il compute.restrictPrivateServiceConnectConsumer vincolo di elenco per controllare quali endpoint e backend possono collegarsi ai collegamenti di servizio Private Service Connect. Se un endpoint o un backend viene rifiutato da un criterio dell'organizzazione del produttore, la creazione della risorsa va a buon fine, ma la connessione passa allo stato rifiutato.

Per ulteriori informazioni, consulta Criteri dell'organizzazione lato produttore.

Rifiutare le connessioni da endpoint e backend non autorizzati

Risorse: endpoint e backend

gcloud

Crea un file temporaneo denominato /tmp/policy.yaml per archiviare il nuovo regola. Aggiungi i seguenti contenuti al file:
```
name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER
```
Sostituisci quanto segue:
- PRODUCER_ORG: il ID organizzazione dell'organizzazione producer a cui vuoi controllare l'accesso di Private Service Connect consumer.
- CONSUMER_ORG_NUMBER: l'ID numerico della risorsa dell'organizzazione consumer a cui vuoi consentire la connessione agli allegati di servizio nell'organizzazione di produzione.
Per specificare altre organizzazioni che possono collegarsi agli allegati del servizio nel tuo progetto, includi voci aggiuntive nella sezione allowedValues.

Oltre alle organizzazioni, puoi specificare le cartelle e i progetti autorizzati nel seguente formato:
- under:folders/FOLDER_ID
  
  FOLDER_ID deve essere l'ID numerico.
- under:projects/PROJECT_ID
  
  PROJECT_ID deve essere l'ID stringa.
Ad esempio, il file seguente mostra una configurazione dei criteri dell'organizzazione che rifiuta le connessioni da endpoint o backend agli allegati dei servizi in Producer-org-1, a meno che non siano associati a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazione Consumer-org-1, il progetto Consumer-project-1 e la cartella Consumer-folder-1.
```
name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1
```

Applica il criterio.

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza il criterio in vigore.

gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

Elenchi di accettazione e rifiuto dei consumatori

Risorse: endpoint e backend

Gli elenchi di accettazione e rifiuto dei consumer sono associati ai collegamenti di servizio. Questi elenchi ti consentono di accettare o rifiutare esplicitamente le connessioni da progetti o reti consumer.

Per ulteriori informazioni, consulta Elenchi di accettazione e rifiuto dei consumatori.

Interazione tra gli elenchi consentiti e i criteri dell'organizzazione

Sia gli elenchi di accettazione dei consumatori sia i criteri dell'organizzazione controllano se è possibile stabilire una connessione tra due risorse Private Service Connect. Le connessioni vengono bloccate se una lista consentita o un criterio dell'organizzazione negano la connessione.

Ad esempio, un criterio con il vincolo restrictPrivateServiceConnectConsumer può essere configurato per bloccare le connessioni dall'esterno dell'organizzazione del produttore. Anche se un collegamento al servizio è configurato per accettare automaticamente tutte le connessioni, i criteri dell'organizzazione bloccano comunque le connessioni dall'esterno dell'organizzazione del produttore. Ti consigliamo di utilizzare contemporaneamente le liste consentite e le norme dell'organizzazione per contribuire a fornire una sicurezza a più livelli.

Configura gli elenchi di accettazione e rifiuto

Per informazioni su come creare un nuovo allegato del servizio con elenchi di accettazione o rifiuto dei consumatori, consulta Pubblicare un servizio con approvazione esplicita del progetto.

Per informazioni su come aggiornare gli elenchi di accettazione o rifiuto dei consumatori, consulta Gestire le richieste di accesso a un servizio pubblicato.