管理 Private Service Connect 供應商的安全性
本頁面說明服務供應商如何為使用 Private Service Connect 的供應商機構和專案實作安全防護措施。
服務擁有者可以透過消費者接受清單,指定可連線至個別服務連結的網路或專案。機構政策也能控管服務附件的存取權,但網路管理員可藉此廣泛控管機構中所有服務附件的存取權。
消費者接受清單和機構政策是互補的,可以一起使用。在這種情況下,只有在兩個安全機制都授權的情況下,才會建立 Private Service Connect 連線。
角色
如要取得管理機構政策所需的權限,請要求管理員為您授予機構的機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
製作人機構政策
您可以使用機構政策和
compute.restrictPrivateServiceConnectConsumer
清單限制,控管哪些端點和後端可以連線至 Private Service Connect 附加服務。如果端點或後端遭生產者機構政策拒絕,資源建立作業會成功,但連線會進入遭拒狀態。
詳情請參閱「製作人端組織政策」。
拒絕來自未經授權端點和後端的連線
資源:端點和後端
gcloud
建立名為
/tmp/policy.yaml的暫時檔案,用來儲存新政策。在檔案中新增下列內容:name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/CONSUMER_ORG_NUMBER更改下列內容:
PRODUCER_ORG:您要控管消費者 Private Service Connect 存取權的生產端機構機構 ID。CONSUMER_ORG_NUMBER:您要允許連線至生產者機構中服務附件的消費者機構資源 ID (數值)。
如要指定可連結至專案中服務附件的其他機構,請在
allowedValues區段中加入其他項目。除了機構,您也可以指定授權資料夾和專案,格式如下:
under:folders/FOLDER_IDFOLDER_ID必須是數字 ID。under:projects/PROJECT_IDPROJECT_ID必須是字串 ID。
舉例來說,下列檔案顯示機構政策設定,除非端點或後端與允許的值或允許的值的子項相關聯,否則會拒絕從端點或後端連線至
Producer-org-1中的服務附件。允許的值為機構Consumer-org-1、專案Consumer-project-1和資料夾Consumer-folder-1。name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer spec: rules: - values: allowedValues: - under:organizations/Consumer-org-1 - under:projects/Consumer-project-1 - under:folders/Consumer-folder-1套用政策。
gcloud org-policies set-policy /tmp/policy.yaml
查看已生效的政策。
gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \ --effective \ --organization=PRODUCER_ORG
消費者接受和拒絕名單
資源:端點和後端
消費者接受和拒絕清單與附加服務相關聯。您可以透過這些清單,明確接受或拒絕來自消費者專案或網路的連線。
詳情請參閱「消費者接受和拒絕清單」。
接受清單與機構政策之間的互動
消費者接受清單和機構政策都會控管兩個 Private Service Connect 資源之間是否可以建立連線。如果接受清單或機構政策拒絕連線,系統就會封鎖連線。
舉例來說,您可以設定具有 restrictPrivateServiceConnectConsumer 限制的政策,禁止連線來自供應商機構外部。即使服務附件設定為自動接受所有連線,機構政策仍會封鎖來自生產者機構外部的連線。建議您同時使用接受清單和機構政策,提供多層式安全防護。
設定接受和拒絕清單
如要瞭解如何建立含有消費者接受或拒絕清單的新服務附件,請參閱「發布需要明確專案核准的服務」。
如要瞭解如何更新消費者接受或拒絕清單,請參閱「管理已發布服務的存取要求」。