Private Service Connect-Sicherheit
Diese Seite bietet eine Übersicht über Private Service Connect-Sicherheit.
Private Service Connect bietet mehrere Steuerelemente für die Verwaltung des Zugriffs auf Private Service Connect-Ressourcen. Sie können steuern, wer Private Service Connect-Ressourcen bereitstellen kann, ob Verbindungen zwischen Nutzern und Erstellern hergestellt werden können und welcher Netzwerktraffic auf diese Verbindungen zugreifen darf.
Diese Steuerelemente werden mithilfe der folgenden Elemente implementiert:
- Identitäts- und Zugriffsverwaltungsberechtigungen legen fest, welche IAM-Hauptkonten Private Service Connect-Ressourcen bereitstellen dürfen, z. B. Endpunkten, Back-Ends und Diensten. Ein IAM-Hauptkonto ist ein Google-Konto, ein Dienstkonto, eine Google-Gruppe, ein Google Workspace-Konto oder eine Cloud Identity-Domain, die auf eine Ressource zugreifen kann.
- Private Service Connect- Annahme- und Ablehnungslisten und Organisationsrichtlinien bestimmen, ob Private Service Connect-Verbindungen vorhanden sind und zwischen einzelnen Nutzern und Erstellern hergestellt werden können.
- VPC-Firewallregeln bestimmen, ob bestimmter TCP- oder UDP-Traffic auf Private Service Connect-Verbindungen zugreifen darf.
Abbildung 1 beschreibt, wie diese Steuerelemente auf den Nutzer- und Erstellerseiten einer Private Service Connect-Verbindung interagieren.
IAM
Resources: (Ressourcen): alle
Jede Private Service Connect-Ressource unterliegt einer oder mehreren IAM-Berechtigungen. Mit diesen Berechtigungen können Administratoren erzwingen, welche IAM-Hauptkonten Private Service Connect-Ressourcen bereitstellen können.
IAM steuert nicht, welche IAM-Hauptkonten eine Verbindung zu Private Service Connect herstellen oder diese verwenden können. Mithilfe von Organisationsrichtlinien oder Verbraucherakzeptanzlisten können Sie steuern, welche Endpunkte oder Back-Ends eine Verbindung zu einem Dienst herstellen können. Verwenden Sie VPC-Firewalls oder Firewallrichtlinien, um zu steuern, welche Clients Traffic an Private Service Connect-Ressourcen senden können.
Weitere Informationen zu IAM-Berechtigungen finden Sie unter IAM-Berechtigungen.
Informationen zu den Berechtigungen, die zum Erstellen eines Endpoints erforderlich sind, finden Sie unter Endpunkt erstellen.
Informationen zu den Berechtigungen, die zum Erstellen eines Dienstanhangs erforderlich sind, finden Sie unter Dienst mit expliziter Genehmigung veröffentlichen.
Verbindungsstatus
Ressourcen: Endpunkte, Back-Ends und Dienstanhänge
Endpunkte, Back-Ends und Dienstanhänge von Private Service Connect haben einen Verbindungsstatus, der den Status ihrer Verbindung beschreibt. Die Nutzer- und Erstellerressourcen, die die beiden Seiten einer Verbindung bilden, haben immer denselben Status. Sie können Verbindungsstatus aufrufen, wenn Sie Endpunktdetails aufrufen, ein Backend beschreiben oder Details zu einem veröffentlichten Dienst ansehen.
In der folgenden Tabelle werden die möglichen Status beschrieben.
Verbindungsstatus | Beschreibung |
---|---|
Angenommen | Die Private Service Connect-Verbindung wird hergestellt. Die beiden VPC-Netzwerke haben eine Verbindung und funktionieren ordnungsgemäß. |
Ausstehend | Die Private Service Connect-Verbindung wird nicht hergestellt und Netzwerk-Traffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben:
Verbindungen, die aus diesen Gründen blockiert werden, bleiben auf unbestimmte Zeit im Status „Ausstehend“, bis das zugrunde liegende Problem behoben ist. |
Abgelehnt | Die Private Service Connect-Verbindung wird nicht hergestellt. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben:
|
Überprüfung erforderlich oder Unbekannt | Es gibt ein Problem auf der Producer-Seite der Verbindung. Einiger Traffic kann möglicherweise zwischen den beiden Netzwerken fließen, aber einige Verbindungen funktionieren möglicherweise nicht. Beispielsweise ist das NAT-Subnetz des Erstellers möglicherweise erschöpft und kann neuen Verbindungen keine IP-Adressen zuweisen. |
Beschränkt | Der Dienstanhang wurde gelöscht und die Verbindung zu Private Service Connect wird geschlossen. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden. Eine geschlossene Verbindung ist ein Terminalstatus. Wenn Sie die Verbindung wiederherstellen möchten, müssen Sie sowohl den Dienstanhang als auch den Endpunkt oder das Backend neu erstellen. |
Konfiguration von Dienstanhängen
Mit den folgenden Funktionen können Sie steuern, welche Nutzer eine Verbindung zu einem Dienstanhang herstellen können.
Verbindungseinstellung
Ressourcen: Endpunkte und Back-Ends
Jeder Dienstanhang hat eine Verbindungseinstellung, die angibt, ob Verbindungsanfragen automatisch akzeptiert werden. Sie haben drei Möglichkeiten zur Auswahl:
- Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer. Die automatische Annahme kann durch eine Organisationsrichtlinie überschrieben werden, die eingehende Verbindungen blockiert.
- Verbindungen für ausgewählte Netzwerke akzeptieren. Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzer-VPC-Netzwerk auf der Nutzerannahmeliste des Dienstanhangs steht.
- Verbindungen für ausgewählte Projekte akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzerprojekt auf der Nutzerannahmeliste des Dienstanhangs steht.
Wir empfehlen, Verbindungen für ausgewählte Projekte oder Netzwerke zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.
Listen akzeptieren und ablehnen
Ressourcen: Endpunkte und Back-Ends
Nutzerannahmelisten und Nutzerablehnungslisten sind eine Sicherheitsfunktion von Dienstanhängen. Mit Annahmelisten und Ablehnungslisten können Dienstersteller angeben, welche Nutzer Private Service Connect-Verbindungen zu ihren Diensten herstellen können. Nutzerannahmelisten geben an, ob eine Verbindung akzeptiert wird, und Nutzerablehnungslisten geben an, ob eine Verbindung abgelehnt wird. Mit beiden Listen können Sie Nutzer nach dem VPC-Netzwerk oder Projekt der verbindenden Ressource angeben. Wenn Sie ein Projekt oder Netzwerk sowohl auf die Annahmeliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt oder Netzwerk abgelehnt. Die Angabe von Nutzern nach Ordner wird nicht unterstützt.
Mit Nutzerannahmelisten und Nutzerablehnungslisten können Sie Projekte oder VPC-Netzwerke angeben, jedoch nicht beides gleichzeitig. Sie können eine Liste von einem Typ zum anderen ändern, ohne die Verbindungen zu unterbrechen. Sie müssen die Änderung jedoch in einer einzelnen Aktualisierung vornehmen. Andernfalls könnten einige Verbindungen vorübergehend in den Status "Ausstehend" wechseln.
Mit Verbraucherlisten wird festgelegt, ob ein Endpunkt eine Verbindung zu einem veröffentlichten Dienst herstellen kann. Sie steuern jedoch nicht, wer Anfragen an diesen Endpunkt senden kann. Angenommen, ein Nutzer hat ein freigegebenes VPC-Netzwerk, mit dem zwei Dienstprojekte verknüpft sind. Wenn ein veröffentlichter Dienst service-project1
in der Nutzerannahmeliste und service-project2
in der Nutzerablehnungsliste hat, gilt Folgendes:
-
Ein Nutzer in
service-project1
kann einen Endpunkt erstellen, der eine Verbindung zum veröffentlichten Dienst herstellt. -
Ein Nutzer in
service-project2
kann keinen Endpunkt erstellen, der eine Verbindung zum veröffentlichten Dienst herstellt. -
Ein Client in
service-project2
kann Anfragen an den Endpunkt inservice-project1
senden, wenn keine Firewallregeln oder Richtlinien diesen Traffic verhindern.
Wenn Sie eine Annahmeliste und eine Ablehnungsliste für Nutzer aktualisieren, hängt die Auswirkung auf vorhandene Verbindungen davon ab, ob der Verbindungsabgleich aktiviert ist. Weitere Informationen finden Sie unter Verbindungsabgleich.
Informationen zum Erstellen eines neuen Dienstanhangs mit Listen, die Nutzer akzeptieren oder ablehnen, finden Sie unter Dienst mit expliziter Projektgenehmigung veröffentlichen.
Informationen zum Aktualisieren von Annahme- oder Ablehnungslisten für Nutzer finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.
Verbindungseinschränkungen
Ressourcen: Endpunkte und Back-Ends
Für Nutzerannahmelisten gelten Verbindungslimits. Mit diesen Limits wird die Gesamtzahl der Private Service Connect-Endpunkt- und Backend-Verbindungen festgelegt, die ein Dienstanhang vom angegebenen Nutzerprojekt oder VPC-Netzwerk akzeptieren kann.
Ersteller können diese Limits verwenden, um zu verhindern, dass einzelne Nutzer IP-Adressen oder Ressourcenkontingente im Ersteller-VPC-Netzwerk erschöpfen. Jede akzeptierte Private Service Connect-Verbindung wird vom konfigurierten Limit für ein Nutzerprojekt oder ein VPC-Netzwerk abgezogen. Die Limits werden beim Erstellen oder Aktualisieren von Nutzerannahmelisten festgelegt. Sie können die Verbindungen eines Dienstanhangs aufrufen, indem Sie ihn beschreiben.
Weitergeleitete Verbindungen werden auf diese Limits nicht angerechnet.
Angenommen, ein Dienstanhang hat eine Nutzerannahmeliste, die project-1
und project-2
mit jeweils einem Limit von einer Verbindung enthält. Das Projekt project-1
fordert zwei Verbindungen an, project-2
fordert eine Verbindung an und project-3
fordert eine Verbindung an. Da project-1
auf eine Verbindung beschränkt ist, wird die erste Verbindung akzeptiert und die zweite bleibt ausstehend.
Die Verbindung von project-2
wird akzeptiert und die Verbindung von project-3
bleibt ausstehend. Die zweite Verbindung von project-1
kann akzeptiert werden, indem Sie das Limit für project-1
erhöhen. Wenn project-3
der Annahmeliste hinzugefügt wird, wechselt diese Verbindung von "Ausstehend" zu "Akzeptiert".
Organisationsrichtlinien
Mit Organisationsrichtlinien können Sie umfassend steuern, welche Projekte über Private Service Connect eine Verbindung zu VPC-Netzwerken oder Organisationen herstellen können.
Die auf dieser Seite beschriebenen Organisationsrichtlinien können neue Private Service Connect-Verbindungen blockieren oder ablehnen, haben jedoch keine Auswirkungen auf vorhandene Verbindungen.
Eine Organisationsrichtlinie gilt für Nachfolgerelemente der Ressource, auf die sie gemäß der Evaluierung der Hierarchie verweist. Beispielsweise gilt eine Organisationsrichtlinie, die den Zugriff auf eine Google Cloud-Organisation einschränkt, auch für die untergeordneten Ordner, Projekte und Ressourcen der Organisation. Wenn Sie eine Organisation als zulässigen Wert auflisten, ermöglicht dies auch den Zugriff auf die untergeordneten Elemente dieser Organisation.
Weitere Informationen zu Organisationsrichtlinien finden Sie unter Organisationsrichtlinien.
Organisationsrichtlinien für Nutzer
Sie können Listeneinschränkungen verwenden, um die Bereitstellung von Endpunkten und Back-Ends zu steuern. Wenn ein Endpunkt oder ein Backend durch die Organisationsrichtlinie eines Nutzers blockiert wird, schlägt das Erstellen der Ressource fehl.
- Mit der Listeneinschränkung
restrictPrivateServiceConnectProducer
können Sie anhand der Erstellerorganisation steuern, zu welchen Dienstanhängen Endpunkte und Back-Ends eine Verbindung herstellen können. - Mit der Listeneinschränkung
disablePrivateServiceConnectCreationForConsumers
können Sie die Bereitstellung von Endpunkten basierend auf dem Verbindungstyp des Endpunkts steuern. Sie können die Bereitstellung von Endpunkten blockieren, die eine Verbindung zu Google APIs herstellen, oder Sie können die Bereitstellung von Endpunkten blockieren, die eine Verbindung zu veröffentlichten Diensten herstellen.
Endpunkte oder Back-Ends daran hindern, eine Verbindung zu Erstellerorganisationen herzustellen
Ressourcen: Endpunkte und Back-Ends
Organisationsrichtlinien, die die Listeneinschränkung restrictPrivateServiceConnectProducer
mit zulässigen Werten verwenden, blockieren Endpunkte und Back-Ends, damit sie keine Verbindung zu Dienstanhängen herstellen, es sei denn, die Dienstanhänge sind einem der zulässigen Werte der Richtlinie zugeordnet. Eine Richtlinie dieses Typs blockiert Verbindungen, selbst wenn sie von der Consumer-Accept-Liste des Dienstanhangs zugelassen sind.
Beispiel: Die folgende Organisationsrichtlinie gilt für eine Organisation mit dem Namen Org-A
:
name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
rules:
– values:
allowedValues:
- under:organizations/ORG_A_NUMBER
- under:organizations/433637338589
Abbildung 2 zeigt das Ergebnis dieser Organisationsrichtlinie. Die Richtlinie hat Werte für Org-A
(ORG_A_NUMBER
) und Google-org
(433637338589
) zugelassen. Endpunkte, die in Org-A
erstellt wurden, können mit Dienstanhängen in Org-A
kommunizieren, jedoch nicht mit Dienstanhängen in Org-B
.
Sie können Instanzen der folgenden Ressourcentypen erlauben, Endpunkte mit der Einschränkung compute.restrictPrivateServiceConnectProducer
zu erstellen:
- Organisationen
- Ordner
- Projekte
Informationen zum Erstellen einer Organisationsrichtlinie, die die Einschränkung compute.restrictPrivateServiceConnectProducer
verwendet, finden Sie unter Endpunkte und Back-Ends daran hindern, eine Verbindung zu nicht autorisierten Dienstanhängen herzustellen.
Erstellen von Endpunkten nach Verbindungstyp blockieren
Betroffene Ressourcen: Endpunkte
Mit der Listeneinschränkung disablePrivateServiceConnectCreationForConsumers
können Sie das Erstellen von Endpunkten blockieren, je nachdem, ob sie eine Verbindung zu Google APIs oder veröffentlichten Diensten (Dienstanhängen) herstellen.
Informationen zum Erstellen einer Organisationsrichtlinie, die die Einschränkung disablePrivateServiceConnectCreationForConsumers
verwendet, finden Sie unter Nutzer daran hindern, Endpunkte nach Verbindungstyp bereitzustellen.
Organisationsrichtlinien für Producer
Betroffene Ressourcen: Endpunkte und Back-Ends
Sie können Organisationsrichtlinien mit der Listeneinschränkung compute.restrictPrivateServiceConnectConsumer
verwenden, um zu steuern, welche Endpunkte und Back-Ends eine Verbindung zu Private Service Connect-Dienstanhängen in einer Erstellerorganisation oder einem -projekt herstellen können. Wenn ein Endpunkt oder ein Backend von der Organisationsrichtlinie eines Erstellers abgelehnt wird, ist die Erstellung der Ressource erfolgreich, die Verbindung wechselt jedoch in den Ablehnungsstatus.
Die Zugriffssteuerung auf diese Weise ähnelt der Verwendung von Annahme- und Ablehnungslisten, mit der Ausnahme, dass Organisationsrichtlinien für alle Dienstanhänge in einem Projekt oder einer Organisation und nicht für einen einzelnen Dienstanhang gelten.
Sie können Organisationsrichtlinien verwenden und Listen zusammen akzeptieren, wobei die Organisationsrichtlinien den Zugriff auf einen verwalteten Dienst allgemein erzwingen und Listen akzeptieren, die den Zugriff auf einzelne Dienstanhänge steuern.
Organisationsrichtlinien, die die Einschränkung compute.restrictPrivateServiceConnectConsumer
verwenden, lehnen Verbindungen von Endpunkten und Backends ab, es sei denn, der Endpunkt oder das Backend ist mit einem der zulässigen Werte der Richtlinie verknüpft. Eine Richtlinie dieses Typs lehnt Verbindungen ab, selbst wenn sie von einer Zulassungsliste zugelassen sind.
Die folgende Organisationsrichtlinie gilt beispielsweise für eine Organisation namens Org-A:
name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
- values:
allowedValues:
- under:organizations/ORG_A_NUMBER
Abbildung 3 zeigt das Ergebnis dieser Organisationsrichtlinie. Die Richtlinie hat einen zulässigen Wert für Org-A
(ORG_A_NUMBER
). Endpunkte in anderen VPC-Netzwerken in Org-A
können eine Verbindung zu Dienstanhängen in Org-A
herstellen. Endpunkte in Org-B
, die eine Verbindung herstellen möchten, werden abgelehnt.
Eine Organisationsrichtlinie gilt für Nachfolgerelemente der Ressource, auf die sie gemäß der Evaluierung der Hierarchie verweist. Beispielsweise gilt eine Organisationsrichtlinie, die den Zugriff auf eine Google Cloud-Organisation einschränkt, auch für die untergeordneten Ordner, Projekte und Ressourcen der Organisation. Wenn Sie eine Organisation als zulässigen Wert auflisten, ermöglicht dies auch den Zugriff auf die untergeordneten Elemente dieser Organisation.
Sie können Instanzen der folgenden Ressourcentypen erlauben, Endpunkte mit der Einschränkung restrictPrivateServiceConnectConsumer
zu erstellen:
- Organisationen
- Ordner
- Projekte
Weitere Informationen zur Verwendung von Organisationsrichtlinien mit Diensterstellern finden Sie unter Organisationsrichtlinien für Ersteller.
Interaktion zwischen Nutzerakzeptanzlisten und Organisationsrichtlinien
Sowohl Nutzerzulassungslisten als auch Organisationsrichtlinien steuern, ob eine Verbindung zwischen zwei Private Service Connect-Ressourcen hergestellt werden kann. Verbindungen werden blockiert, wenn entweder die Annahmeliste oder eine Organisationsrichtlinie die Verbindung ablehnt.
Beispielsweise kann eine Richtlinie mit der Einschränkung restrictPrivateServiceConnectConsumer
konfiguriert werden, um Verbindungen von außerhalb der Organisation des Erstellers zu blockieren. Auch wenn ein Dienstanhang so konfiguriert ist, dass automatisch alle Verbindungen akzeptiert werden, blockiert die Organisationsrichtlinie weiterhin Verbindungen von außerhalb der Organisation des Erstellers. Wir empfehlen, sowohl Zulassungslisten als auch Organisationsrichtlinien zu verwenden, um ein höheres Maß an Sicherheit zu bieten.
Firewalls
Resources: (Ressourcen): alle
Sie können VPC-Firewallregeln und Firewallrichtlinien verwenden, um den Zugriff auf Netzwerkebene auf Private Service Connect-Ressourcen zu steuern.
Weitere Informationen zu VPC-Firewallregeln im Allgemeinen finden Sie unter VPC-Firewallregeln.
Weitere Informationen zur Verwendung von VPC-Firewallregeln zur Beschränkung des Zugriffs auf Endpunkte oder Back-Ends in einem Nutzer-VPC-Netzwerk finden Sie unter Firewallregeln verwenden, um den Zugriff auf Endpunkte oder Back-Ends zu beschränken.