Private Service Connect-Sicherheit

Diese Seite bietet eine Übersicht über Private Service Connect-Sicherheit.

Private Service Connect bietet mehrere Steuerelemente für die Verwaltung des Zugriffs auf Private Service Connect-Ressourcen. Sie können steuern, wer Private Service Connect-Ressourcen bereitstellen kann, ob Verbindungen zwischen Nutzern und Erstellern hergestellt werden können und welcher Netzwerktraffic auf diese Verbindungen zugreifen darf.

Diese Steuerelemente werden mithilfe der folgenden Elemente implementiert:

Abbildung 1 beschreibt, wie diese Steuerelemente auf den Nutzer- und Erstellerseiten einer Private Service Connect-Verbindung interagieren.

Abbildung 1. IAM-Berechtigungen, Organisationsrichtlinien, Zulassungs- und Ablehnungslisten und VPC-Firewallregeln schützen zusammen die Nutzer- und Erstellerseiten einer Private Service Connect-Verbindung (zum Vergrößern klicken).

IAM

Resources: (Ressourcen): alle

Jede Private Service Connect-Ressource unterliegt einer oder mehreren IAM-Berechtigungen. Mit diesen Berechtigungen können Administratoren erzwingen, welche IAM-Hauptkonten Private Service Connect-Ressourcen bereitstellen können.

IAM steuert nicht, welche IAM-Hauptkonten eine Verbindung zu Private Service Connect herstellen oder diese verwenden können. Mithilfe von Organisationsrichtlinien oder Verbraucherakzeptanzlisten können Sie steuern, welche Endpunkte oder Back-Ends eine Verbindung zu einem Dienst herstellen können. Verwenden Sie VPC-Firewalls oder Firewallrichtlinien, um zu steuern, welche Clients Traffic an Private Service Connect-Ressourcen senden können.

Weitere Informationen zu IAM-Berechtigungen finden Sie unter IAM-Berechtigungen.

Informationen zu den Berechtigungen, die zum Erstellen eines Endpoints erforderlich sind, finden Sie unter Endpunkt erstellen.

Informationen zu den Berechtigungen, die zum Erstellen eines Dienstanhangs erforderlich sind, finden Sie unter Dienst mit expliziter Genehmigung veröffentlichen.

Verbindungsstatus

Ressourcen: Endpunkte, Back-Ends und Dienstanhänge

Endpunkte, Back-Ends und Dienstanhänge von Private Service Connect haben einen Verbindungsstatus, der den Status ihrer Verbindung beschreibt. Die Nutzer- und Erstellerressourcen, die die beiden Seiten einer Verbindung bilden, haben immer denselben Status. Sie können Verbindungsstatus aufrufen, wenn Sie Endpunktdetails aufrufen, ein Backend beschreiben oder Details zu einem veröffentlichten Dienst ansehen.

In der folgenden Tabelle werden die möglichen Status beschrieben.

Verbindungsstatus Beschreibung
Angenommen Die Private Service Connect-Verbindung wird hergestellt. Die beiden VPC-Netzwerke haben eine Verbindung und funktionieren ordnungsgemäß.
Ausstehend

Die Private Service Connect-Verbindung wird nicht hergestellt und Netzwerk-Traffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben:

Verbindungen, die aus diesen Gründen blockiert werden, bleiben auf unbestimmte Zeit im Status „Ausstehend“, bis das zugrunde liegende Problem behoben ist.

Abgelehnt

Die Private Service Connect-Verbindung wird nicht hergestellt. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben:

Überprüfung erforderlich oder Unbekannt Es gibt ein Problem auf der Producer-Seite der Verbindung. Einiger Traffic kann möglicherweise zwischen den beiden Netzwerken fließen, aber einige Verbindungen funktionieren möglicherweise nicht. Beispielsweise ist das NAT-Subnetz des Erstellers möglicherweise erschöpft und kann neuen Verbindungen keine IP-Adressen zuweisen.
Beschränkt

Der Dienstanhang wurde gelöscht und die Verbindung zu Private Service Connect wird geschlossen. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden.

Eine geschlossene Verbindung ist ein Terminalstatus. Wenn Sie die Verbindung wiederherstellen möchten, müssen Sie sowohl den Dienstanhang als auch den Endpunkt oder das Backend neu erstellen.

Konfiguration von Dienstanhängen

Mit den folgenden Funktionen können Sie steuern, welche Nutzer eine Verbindung zu einem Dienstanhang herstellen können.

Verbindungseinstellung

Ressourcen: Endpunkte und Back-Ends

Jeder Dienstanhang hat eine Verbindungseinstellung, die angibt, ob Verbindungsanfragen automatisch akzeptiert werden. Sie haben drei Möglichkeiten zur Auswahl:

  • Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer. Die automatische Annahme kann durch eine Organisationsrichtlinie überschrieben werden, die eingehende Verbindungen blockiert.
  • Verbindungen für ausgewählte Netzwerke akzeptieren. Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzer-VPC-Netzwerk auf der Nutzerannahmeliste des Dienstanhangs steht.
  • Verbindungen für ausgewählte Projekte akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzerprojekt auf der Nutzerannahmeliste des Dienstanhangs steht.

Wir empfehlen, Verbindungen für ausgewählte Projekte oder Netzwerke zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.

Listen akzeptieren und ablehnen

Ressourcen: Endpunkte und Back-Ends

Nutzerannahmelisten und Nutzerablehnungslisten sind eine Sicherheitsfunktion von Dienstanhängen. Mit Annahmelisten und Ablehnungslisten können Dienstersteller angeben, welche Nutzer Private Service Connect-Verbindungen zu ihren Diensten herstellen können. Nutzerannahmelisten geben an, ob eine Verbindung akzeptiert wird, und Nutzerablehnungslisten geben an, ob eine Verbindung abgelehnt wird. Mit beiden Listen können Sie Nutzer nach dem VPC-Netzwerk oder Projekt der verbindenden Ressource angeben. Wenn Sie ein Projekt oder Netzwerk sowohl auf die Annahmeliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt oder Netzwerk abgelehnt. Die Angabe von Nutzern nach Ordner wird nicht unterstützt.

Mit Nutzerannahmelisten und Nutzerablehnungslisten können Sie Projekte oder VPC-Netzwerke angeben, jedoch nicht beides gleichzeitig. Sie können eine Liste von einem Typ zum anderen ändern, ohne die Verbindungen zu unterbrechen. Sie müssen die Änderung jedoch in einer einzelnen Aktualisierung vornehmen. Andernfalls könnten einige Verbindungen vorübergehend in den Status "Ausstehend" wechseln.

Mit Verbraucherlisten wird festgelegt, ob ein Endpunkt eine Verbindung zu einem veröffentlichten Dienst herstellen kann. Sie steuern jedoch nicht, wer Anfragen an diesen Endpunkt senden kann. Angenommen, ein Nutzer hat ein freigegebenes VPC-Netzwerk, mit dem zwei Dienstprojekte verknüpft sind. Wenn ein veröffentlichter Dienst service-project1 in der Nutzerannahmeliste und service-project2 in der Nutzerablehnungsliste hat, gilt Folgendes:

  • Ein Nutzer in service-project1 kann einen Endpunkt erstellen, der eine Verbindung zum veröffentlichten Dienst herstellt.
  • Ein Nutzer in service-project2 kann keinen Endpunkt erstellen, der eine Verbindung zum veröffentlichten Dienst herstellt.
  • Ein Client in service-project2 kann Anfragen an den Endpunkt in service-project1 senden, wenn keine Firewallregeln oder Richtlinien diesen Traffic verhindern.

Wenn Sie eine Annahmeliste und eine Ablehnungsliste für Nutzer aktualisieren, hängt die Auswirkung auf vorhandene Verbindungen davon ab, ob der Verbindungsabgleich aktiviert ist. Weitere Informationen finden Sie unter Verbindungsabgleich.

Informationen zum Erstellen eines neuen Dienstanhangs mit Listen, die Nutzer akzeptieren oder ablehnen, finden Sie unter Dienst mit expliziter Projektgenehmigung veröffentlichen.

Informationen zum Aktualisieren von Annahme- oder Ablehnungslisten für Nutzer finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.

Verbindungseinschränkungen

Ressourcen: Endpunkte und Back-Ends

Für Nutzerannahmelisten gelten Verbindungslimits. Mit diesen Limits wird die Gesamtzahl der Private Service Connect-Endpunkt- und Backend-Verbindungen festgelegt, die ein Dienstanhang vom angegebenen Nutzerprojekt oder VPC-Netzwerk akzeptieren kann.

Ersteller können diese Limits verwenden, um zu verhindern, dass einzelne Nutzer IP-Adressen oder Ressourcenkontingente im Ersteller-VPC-Netzwerk erschöpfen. Jede akzeptierte Private Service Connect-Verbindung wird vom konfigurierten Limit für ein Nutzerprojekt oder ein VPC-Netzwerk abgezogen. Die Limits werden beim Erstellen oder Aktualisieren von Nutzerannahmelisten festgelegt. Sie können die Verbindungen eines Dienstanhangs aufrufen, indem Sie ihn beschreiben.

Weitergeleitete Verbindungen werden auf diese Limits nicht angerechnet.

Angenommen, ein Dienstanhang hat eine Nutzerannahmeliste, die project-1 und project-2 mit jeweils einem Limit von einer Verbindung enthält. Das Projekt project-1 fordert zwei Verbindungen an, project-2 fordert eine Verbindung an und project-3 fordert eine Verbindung an. Da project-1 auf eine Verbindung beschränkt ist, wird die erste Verbindung akzeptiert und die zweite bleibt ausstehend. Die Verbindung von project-2 wird akzeptiert und die Verbindung von project-3 bleibt ausstehend. Die zweite Verbindung von project-1 kann akzeptiert werden, indem Sie das Limit für project-1 erhöhen. Wenn project-3 der Annahmeliste hinzugefügt wird, wechselt diese Verbindung von "Ausstehend" zu "Akzeptiert".

Organisationsrichtlinien

Mit Organisationsrichtlinien können Sie umfassend steuern, welche Projekte über Private Service Connect eine Verbindung zu VPC-Netzwerken oder Organisationen herstellen können.

Die auf dieser Seite beschriebenen Organisationsrichtlinien können neue Private Service Connect-Verbindungen blockieren oder ablehnen, haben jedoch keine Auswirkungen auf vorhandene Verbindungen.

Eine Organisationsrichtlinie gilt für Nachfolgerelemente der Ressource, auf die sie gemäß der Evaluierung der Hierarchie verweist. Beispielsweise gilt eine Organisationsrichtlinie, die den Zugriff auf eine Google Cloud-Organisation einschränkt, auch für die untergeordneten Ordner, Projekte und Ressourcen der Organisation. Wenn Sie eine Organisation als zulässigen Wert auflisten, ermöglicht dies auch den Zugriff auf die untergeordneten Elemente dieser Organisation.

Weitere Informationen zu Organisationsrichtlinien finden Sie unter Organisationsrichtlinien.

Organisationsrichtlinien für Nutzer

Sie können Listeneinschränkungen verwenden, um die Bereitstellung von Endpunkten und Back-Ends zu steuern. Wenn ein Endpunkt oder ein Backend durch die Organisationsrichtlinie eines Nutzers blockiert wird, schlägt das Erstellen der Ressource fehl.

  • Mit der Listeneinschränkung restrictPrivateServiceConnectProducer können Sie anhand der Erstellerorganisation steuern, zu welchen Dienstanhängen Endpunkte und Back-Ends eine Verbindung herstellen können.
  • Mit der Listeneinschränkung disablePrivateServiceConnectCreationForConsumers können Sie die Bereitstellung von Endpunkten basierend auf dem Verbindungstyp des Endpunkts steuern. Sie können die Bereitstellung von Endpunkten blockieren, die eine Verbindung zu Google APIs herstellen, oder Sie können die Bereitstellung von Endpunkten blockieren, die eine Verbindung zu veröffentlichten Diensten herstellen.

Endpunkte oder Back-Ends daran hindern, eine Verbindung zu Erstellerorganisationen herzustellen

Ressourcen: Endpunkte und Back-Ends

Organisationsrichtlinien, die die Listeneinschränkung restrictPrivateServiceConnectProducer mit zulässigen Werten verwenden, blockieren Endpunkte und Back-Ends, damit sie keine Verbindung zu Dienstanhängen herstellen, es sei denn, die Dienstanhänge sind einem der zulässigen Werte der Richtlinie zugeordnet. Eine Richtlinie dieses Typs blockiert Verbindungen, selbst wenn sie von der Consumer-Accept-Liste des Dienstanhangs zugelassen sind.

Beispiel: Die folgende Organisationsrichtlinie gilt für eine Organisation mit dem Namen Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    – values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER
        - under:organizations/433637338589

Abbildung 2 zeigt das Ergebnis dieser Organisationsrichtlinie. Die Richtlinie hat Werte für Org-A (ORG_A_NUMBER) und Google-org (433637338589) zugelassen. Endpunkte, die in Org-A erstellt wurden, können mit Dienstanhängen in Org-A kommunizieren, jedoch nicht mit Dienstanhängen in Org-B.

Abbildung 2. Durch eine Organisationsrichtlinie kann der Endpunkt psc-1 eine Verbindung zum Dienstanhang sa-1 herstellen und verhindern, dass psc-3 eine Verbindung zu Dienstanhängen in Org-B herstellt. Endpunkte und Back-Ends in Org-A können eine Verbindung zu Dienstanhängen herstellen, die Google gehören (zum Vergrößern klicken).

Sie können Instanzen der folgenden Ressourcentypen erlauben, Endpunkte mit der Einschränkung compute.restrictPrivateServiceConnectProducer zu erstellen:

  • Organisationen
  • Ordner
  • Projekte

Informationen zum Erstellen einer Organisationsrichtlinie, die die Einschränkung compute.restrictPrivateServiceConnectProducer verwendet, finden Sie unter Endpunkte und Back-Ends daran hindern, eine Verbindung zu nicht autorisierten Dienstanhängen herzustellen.

Erstellen von Endpunkten nach Verbindungstyp blockieren

Betroffene Ressourcen: Endpunkte

Mit der Listeneinschränkung disablePrivateServiceConnectCreationForConsumers können Sie das Erstellen von Endpunkten blockieren, je nachdem, ob sie eine Verbindung zu Google APIs oder veröffentlichten Diensten (Dienstanhängen) herstellen.

Informationen zum Erstellen einer Organisationsrichtlinie, die die Einschränkung disablePrivateServiceConnectCreationForConsumers verwendet, finden Sie unter Nutzer daran hindern, Endpunkte nach Verbindungstyp bereitzustellen.

Organisationsrichtlinien für Producer

Betroffene Ressourcen: Endpunkte und Back-Ends

Sie können Organisationsrichtlinien mit der Listeneinschränkung compute.restrictPrivateServiceConnectConsumer verwenden, um zu steuern, welche Endpunkte und Back-Ends eine Verbindung zu Private Service Connect-Dienstanhängen in einer Erstellerorganisation oder einem -projekt herstellen können. Wenn ein Endpunkt oder ein Backend von der Organisationsrichtlinie eines Erstellers abgelehnt wird, ist die Erstellung der Ressource erfolgreich, die Verbindung wechselt jedoch in den Ablehnungsstatus.

Die Zugriffssteuerung auf diese Weise ähnelt der Verwendung von Annahme- und Ablehnungslisten, mit der Ausnahme, dass Organisationsrichtlinien für alle Dienstanhänge in einem Projekt oder einer Organisation und nicht für einen einzelnen Dienstanhang gelten.

Sie können Organisationsrichtlinien verwenden und Listen zusammen akzeptieren, wobei die Organisationsrichtlinien den Zugriff auf einen verwalteten Dienst allgemein erzwingen und Listen akzeptieren, die den Zugriff auf einzelne Dienstanhänge steuern.

Organisationsrichtlinien, die die Einschränkung compute.restrictPrivateServiceConnectConsumer verwenden, lehnen Verbindungen von Endpunkten und Backends ab, es sei denn, der Endpunkt oder das Backend ist mit einem der zulässigen Werte der Richtlinie verknüpft. Eine Richtlinie dieses Typs lehnt Verbindungen ab, selbst wenn sie von einer Zulassungsliste zugelassen sind.

Die folgende Organisationsrichtlinie gilt beispielsweise für eine Organisation namens Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER

Abbildung 3 zeigt das Ergebnis dieser Organisationsrichtlinie. Die Richtlinie hat einen zulässigen Wert für Org-A (ORG_A_NUMBER). Endpunkte in anderen VPC-Netzwerken in Org-A können eine Verbindung zu Dienstanhängen in Org-A herstellen. Endpunkte in Org-B, die eine Verbindung herstellen möchten, werden abgelehnt.

Abbildung 3. Mit einer Organisationsrichtlinie kann psc-1 eine Verbindung zu sa-1 herstellen, während psc-2 blockiert wird (zum Vergrößern klicken).

Eine Organisationsrichtlinie gilt für Nachfolgerelemente der Ressource, auf die sie gemäß der Evaluierung der Hierarchie verweist. Beispielsweise gilt eine Organisationsrichtlinie, die den Zugriff auf eine Google Cloud-Organisation einschränkt, auch für die untergeordneten Ordner, Projekte und Ressourcen der Organisation. Wenn Sie eine Organisation als zulässigen Wert auflisten, ermöglicht dies auch den Zugriff auf die untergeordneten Elemente dieser Organisation.

Sie können Instanzen der folgenden Ressourcentypen erlauben, Endpunkte mit der Einschränkung restrictPrivateServiceConnectConsumer zu erstellen:

  • Organisationen
  • Ordner
  • Projekte

Weitere Informationen zur Verwendung von Organisationsrichtlinien mit Diensterstellern finden Sie unter Organisationsrichtlinien für Ersteller.

Interaktion zwischen Nutzerakzeptanzlisten und Organisationsrichtlinien

Sowohl Nutzerzulassungslisten als auch Organisationsrichtlinien steuern, ob eine Verbindung zwischen zwei Private Service Connect-Ressourcen hergestellt werden kann. Verbindungen werden blockiert, wenn entweder die Annahmeliste oder eine Organisationsrichtlinie die Verbindung ablehnt.

Beispielsweise kann eine Richtlinie mit der Einschränkung restrictPrivateServiceConnectConsumer konfiguriert werden, um Verbindungen von außerhalb der Organisation des Erstellers zu blockieren. Auch wenn ein Dienstanhang so konfiguriert ist, dass automatisch alle Verbindungen akzeptiert werden, blockiert die Organisationsrichtlinie weiterhin Verbindungen von außerhalb der Organisation des Erstellers. Wir empfehlen, sowohl Zulassungslisten als auch Organisationsrichtlinien zu verwenden, um ein höheres Maß an Sicherheit zu bieten.

Firewalls

Resources: (Ressourcen): alle

Sie können VPC-Firewallregeln und Firewallrichtlinien verwenden, um den Zugriff auf Netzwerkebene auf Private Service Connect-Ressourcen zu steuern.

Weitere Informationen zu VPC-Firewallregeln im Allgemeinen finden Sie unter VPC-Firewallregeln.

Weitere Informationen zur Verwendung von VPC-Firewallregeln zur Beschränkung des Zugriffs auf Endpunkte oder Back-Ends in einem Nutzer-VPC-Netzwerk finden Sie unter Firewallregeln verwenden, um den Zugriff auf Endpunkte oder Back-Ends zu beschränken.