管理 Private Service Connect 提供方的安全

gcloud

1. 创建一个名为 /tmp/policy.yaml 的临时文件来存储新政策。将以下内容添加到该文件中：

   name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
   spec:
     rules:
       - values:
           allowedValues:
           - under:organizations/CONSUMER_ORG_NUMBER
   

   请替换以下内容：

   • PRODUCER_ORG：您要控制使用方 Private Service Connect 对其访问权限的提供方组织的组织 ID。
   • CONSUMER_ORG_NUMBER：您要允许其连接到提供方组织中的服务连接的使用方组织的数字资源 ID。

   如需指定可连接到项目中的服务连接的其他组织，请在 allowedValues 部分中添加其他条目。

   除了组织之外，您还可以按以下形式指定已获授权的文件夹和项目：

   • under:folders/FOLDER_ID

     FOLDER_ID 必须是数字 ID。

   • under:projects/PROJECT_ID

     PROJECT_ID 必须是字符串 ID。

   例如，以下文件展示了一项组织政策配置，该配置会拒绝使用方将端点或后端连接到 Producer-org-1 中的服务连接，除非服务连接与允许的值或允许的值后代相关联。允许的值包括组织 Consumer-org-1、项目 Consumer-project-1 和文件夹 Consumer-folder-1。

   name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
   spec:
   rules:
     - values:
         allowedValues:
         - under:organizations/Consumer-org-1
         - under:projects/Consumer-project-1
         - under:folders/Consumer-folder-1
   

2. 应用该政策。

   gcloud org-policies set-policy /tmp/policy.yaml
   

3. 查看有效的政策。

   gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
       --effective \
       --organization=PRODUCER_ORG