Private Service Connect 安全性

本頁提供 Private Service Connect 安全性的總覽。

Private Service Connect 提供多種控制項,可用於管理 Private Service Connect 資源的存取權。您可以控管哪些使用者可以部署 Private Service Connect 資源、消費者和供應者之間是否可以建立連線,以及哪些網路流量可以存取這些連線。

這些控制項是使用下列元素實作:

圖 1 說明這些控制項如何在 Private Service Connect 連線的使用者和供應者端互動。

圖 1. IAM 權限、組織政策、接受和拒絕清單,以及 VPC 防火牆規則會共同運作,協助保護 Private Service Connect 連線的使用者端和供應者端 (按一下可放大)。

IAM

資源:全部

每個 Private Service Connect 資源都受一或多項 IAM 權限管制。這些權限可讓管理員強制執行哪些 IAM 主體可部署 Private Service Connect 資源。

IAM 不會管制哪些 IAM 主體可以連線至或使用 Private Service Connect 連線。如要控制哪些端點或後端可以與服務建立連線,請使用機構政策或消費者接受清單。如要控管哪些用戶端可以將流量傳送至 Private Service Connect 資源,請使用 VPC 防火牆或防火牆政策。

如要進一步瞭解 IAM 權限,請參閱「IAM 權限」。

如要瞭解建立端點所需的權限,請參閱「建立端點」。

如要瞭解建立服務附件的必要權限,請參閱「發布具有明確核准功能的服務」。

連線狀態

資源:端點、後端和服務附件

Private Service Connect 端點、後端和服務附件都有連線狀態,可說明連線狀態。 構成連線兩端的用戶和供應商資源一律會有相同的狀態。 您可以�查看端點詳細資料 說明後端,或 查看已發布服務的詳細資料,來查看連線狀態。

下表說明可能的狀態。

連線狀態 說明
已接受 已建立 Private Service Connect 連線。兩個虛擬私有雲網路已連線,且連線正常運作。
待處理

未建立 Private Service Connect 連線,網路流量無法在兩個網路之間傳輸。連線可能會因為以下原因而處於這個狀態:

基於這些原因而遭到封鎖的連線會一直處於待處理狀態,直到根本問題解決為止。
已遭拒

未建立 Private Service Connect 連線。網路流量無法在兩個網路之間傳輸。連線可能會因為以下原因而處於這個狀態:
需要處理不明 連線的供應商端發生問題。部分流量或許可以在兩個網路之間流動,不過某些連線可能無法正常運作。舉例來說,生產端的 NAT 子網路可能已用盡,無法為新連線分配 IP 位址。
不開放

服務連結遭到刪除,Private Service Connect 連線已關閉。網路流量無法在兩個網路之間傳輸。

關閉的連線是終端狀態。如要恢復連線,必須重新建立服務連結和端點或後端。

服務連結設定

您可以使用下列功能,控管哪些消費者可以連線至服務附件。

連線偏好設定

資源:端點和後端

每個服務連結都有連線偏好設定,可指定是否自動接受連線要求。可能的做法有以下三種:

  • 自動接受所有連線。服務附件會自動接受來自任何使用者的所有傳入連線要求。自動接受功能可由封鎖傳入連線的機構政策覆寫。
  • 接受所選聯播網的連線。只有在用戶端虛擬私有雲網路位於服務連結的用戶接受清單中時,服務連結才會接受傳入連線要求。
  • 接受所選專案的連線。只有在用戶專案位於服務附件的用戶接受清單中時,服務附件才會接受傳入連線要求。

建議您接受所選專案或網路的連線。如果您透過其他方式控管消費者存取權,且想啟用服務的開放式存取權,自動接受所有連線可能就很適合。

接受和拒絕清單

資源:端點和後端

消費者接受清單消費者拒絕清單是服務附件的安全性功能。接受和拒絕清單可讓服務供應商指定哪些使用者可以與其服務建立 Private Service Connect 連線。消費者接受清單會指定是否接受連線,而消費者拒絕清單則會指定是否拒絕連線。這兩份清單都會根據連線資源的虛擬私有雲網路或專案,指定消費者。如果您同時將專案或網路新增至接受清單和拒絕清單,系統就會拒絕該專案或網路的連線要求。不支援依資料夾指定消費者。

您可以使用消費者接受清單和消費者拒絕清單指定專案或 VPC 網路,但不能同時指定這兩者。您可以將清單從一種類型變更為另一種類型,而不會中斷連線,但您必須在單一更新中進行變更。否則,部分連線可能會暫時變更為待處理狀態。

消費者清單可控制端點是否能連線至已發布服務,但無法控制誰能向該端點傳送要求。舉例來說,假設用戶有一個共用虛擬私有雲網路,且有兩個服務專案附加至該網路。如果已發布的服務在消費者接受清單中包含 service-project1,而在消費者拒絕清單中包含 service-project2,則適用下列規定:

  • service-project1 中的消費者可以建立連結至已發布服務的端點。
  • service-project2 中的消費者無法建立連結至已發布服務的端點。
  • 如果沒有防火牆規則或政策禁止該流量,service-project2 中的用戶端就能將要求傳送至 service-project1 中的端點。

更新消費者接受或拒絕清單時,對現有連線的影響會因是否啟用連線協調功能而異。詳情請參閱「連線比對」。

如要進一步瞭解如何建立含有消費者接受或拒絕清單的新服務附件,請參閱「發布具有明確專案核准功能的服務」。

如要瞭解如何更新消費者接受或拒絕清單,請參閱「管理已發布服務的存取要求」。

連線限制

資源:端點和後端

消費者接受清單有連線限制。這些限制會設定服務附加元件可從指定的使用者專案或 VPC 網路接受的 Private Service Connect 端點和後端連線總數。

供應者可以使用連線限制,避免個別使用者耗盡供應者 VPC 網路中的 IP 位址或資源配額。每個接受的 Private Service Connect 連線都會從用戶專案或 VPC 網路的設定限制中扣除。您建立更新消費者接受名單時,系統會設定這些限制。說明服務附件時,您可以查看服務附件的連結。

傳播連線不計入這些限制。

舉例來說,假設服務附件有消費者接受清單,其中包含 project-1project-2,兩者都設有一個連線限制。project-1 專案要求兩個連線、project-2 要求一個連線,而 project-3 要求一個連線。由於 project-1 的連線數量上限為 1,因此系統會接受第一個連線,而第二個連線則處於待處理狀態。系統已接受 project-2 的連線要求,而 project-3 的連線要求仍處於待處理狀態。只要提高 project-1 的上限,即可接受來自 project-1 的第二個連線。如果 project-3 新增至消費者接受清單,該連線就會從待處理轉為已接受。

機構政策

您可以透過機構政策,廣泛控制哪些專案可以使用 Private Service Connect 連線至 VPC 網路或機構。

本頁所述的機構政策可封鎖或拒絕新的 Private Service Connect 連線,但不會影響現有連線。

機構政策會根據階層評估,套用至所參照資源的子系。舉例來說,限制 Google Cloud 機構存取權的機構政策,也會套用至該機構的子資料夾、專案和資源。同樣地,將機構列為允許的值,也會允許存取該機構的子項。

如要進一步瞭解機構政策,請參閱「機構政策」。

消費者端機構政策

您可以使用清單限制控制端點和後端的部署作業。如果端點或後端遭到消費者機構政策封鎖,資源建立作業就會失敗。

  • 使用 restrictPrivateServiceConnectProducer 清單限制,根據供應商機構控管哪些服務附加服務端點和後端可以連線。
  • 使用 disablePrivateServiceConnectCreationForConsumers 清單限制,根據端點的連線類型控制端點的部署作業。您可以封鎖連線至 Google API 的端點部署作業,也可以封鎖連線至已發布服務的端點部署作業。

禁止端點或後端連線至製作者機構

資源:端點和後端

使用 restrictPrivateServiceConnectProducer 清單限制與允許值的機構政策會阻擋端點和後端連線至服務附件,除非服務附件與政策的允許值之一相關聯。即使服務附件消費者接受清單允許連線,這類政策也會封鎖連線。

舉例來說,下列機構政策適用於名為 Org-A 的機構:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    – values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER
        - under:organizations/433637338589

圖 2 顯示這項組織政策的結果。政策已允許 Org-A (ORG_A_NUMBER) 和 Google-org (433637338589) 的值。在 Org-A 中建立的端點和後端可以與 Org-A 中的服務附件通訊,但無法與 Org-B 中的服務附件通訊。

圖 2:機構政策可讓端點 psc-1 連線至服務附件 sa-1,並阻止 psc-3 連線至 Org-B 中的服務附件。Org-A 中的端點和後端可連結至 Google 擁有的服務連結 (按一下可放大)。

您可以允許下列資源類型的執行個體使用 compute.restrictPrivateServiceConnectProducer 限制建立端點:

  • 組織
  • 資料夾
  • 專案

如要瞭解如何建立使用 compute.restrictPrivateServiceConnectProducer 限制的機構政策,請參閱「封鎖 Endpoints 和後端,避免連線至未經授權的服務附件」。

依據連線類型封鎖端點建立作業

受影響的資源:端點

您可以使用 disablePrivateServiceConnectCreationForConsumers 清單限制,根據端點是否連線至 Google API 或已發布的服務 (服務附件) 來封鎖端點建立作業。

如要瞭解如何建立使用 disablePrivateServiceConnectCreationForConsumers 限制的機構政策,請參閱「依據連線類型阻止消費者部署端點」。

製作者端機構政策

受影響的資源:端點和後端

您可以使用組織政策搭配 compute.restrictPrivateServiceConnectConsumer 清單限制,控制哪些端點和後端可以連線至生產者機構或專案中的 Private Service Connect 附加服務。如果端點或後端遭到生產者機構政策拒絕,資源建立作業會成功,但連線會進入已拒絕狀態。

以這種方式控管存取權的方式與使用接受和拒絕清單類似,但機構政策會套用至專案或機構中的所有服務附加元件,而非個別服務附加元件。

您可以同時使用機構政策和接受清單,讓機構政策廣泛套用於管理服務的存取權,並讓接受清單控制個別服務附件的存取權。

使用 compute.restrictPrivateServiceConnectConsumer 限制的機構政策會拒絕來自端點和後端的連線,除非端點或後端與政策的其中一個允許值相關聯。即使許可清單允許連線,這類政策也會拒絕連線。

舉例來說,下列機構政策適用於名為 Org-A 的機構:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER

圖 3 顯示這項機構政策的結果。政策為 Org-A 設定了允許的值 (ORG_A_NUMBER)。Org-A 中其他虛擬私有雲網路的端點可連線至 Org-A 中的服務附件。Org-B 中嘗試連線的端點會遭到拒絕。

圖 3:機構政策可讓 psc-1 連線至 sa-1,同時封鎖 psc-2 的連線 (按一下可放大)。

機構政策會根據階層評估,套用至所參照資源的子系。舉例來說,限制 Google Cloud 機構存取權的機構政策,也會套用至該機構的子資料夾、專案和資源。同樣地,將機構列為允許的值,也會允許存取該機構的子項。

您可以允許下列資源類型的執行個體使用 restrictPrivateServiceConnectConsumer 限制建立端點:

  • 組織
  • 資料夾
  • 專案

如要進一步瞭解如何在服務發布者中使用機構政策,請參閱「發布者機構政策」。

消費者接受清單與機構政策之間的互動

使用者接受清單和機構政策都會控制兩個 Private Service Connect 資源之間是否能建立連線。如果接受清單或機構政策拒絕連線,系統就會封鎖連線。

舉例來說,您可以設定含有 restrictPrivateServiceConnectConsumer 限制的政策,藉此封鎖來自供應者機構以外的連線。即使服務附件已設定為自動接受所有連線,機構政策仍會封鎖來自製作者機構以外的連線。建議您同時使用接受清單和機構政策,以提供多層安全防護。

防火牆

資源:全部

您可以使用 VPC 防火牆規則和防火牆政策,控管 Private Service Connect 資源的網路層級存取權。

如要進一步瞭解一般虛擬私有雲防火牆規則,請參閱「虛擬私有雲防火牆規則」。

如要進一步瞭解如何使用 VPC 防火牆規則限制消費者 VPC 網路中端點或後端的存取權,請參閱「使用防火牆規則限制端點或後端的存取權」。