Mit VPC Service Controls können Sie Perimeter erstellen, die sich um Ihre Google Cloud-Ressourcen erstrecken. Sie können dann Sicherheitsrichtlinien definieren, mit denen der Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindert wird. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.
Mit VPC Service Controls können Sie die folgenden Policy Intelligence APIs schützen:
- Policy Troubleshooter API
- Policy Simulator API
Richtlinien-Fehlerbehebungs-API schützen
Mit VPC Service Controls können Sie die Fehlerbehebung bei Richtlinien erleichtern.
Wenn Sie die Policy Debug API mit einem Perimeter einschränken, können Hauptkonten nur dann IAM-Richtlinien beheben, wenn sich alle in der Anfrage enthaltenen Ressourcen im selben Perimeter befinden. In der Regel sind zwei Ressourcen für die Fehlerbehebung erforderlich:
Die Ressource, für die Sie den Zugriff beheben. Diese Ressource kann ein beliebiger Typ sein. Sie geben diese Ressource explizit an, wenn Sie Fehler in einer IAM-Richtlinie beheben.
Die Ressource, die Sie zur Fehlerbehebung im Zugriff verwenden. Diese Ressource muss ein Projekt, ein Ordner oder eine Organisation sein. In der Google Cloud Console und der gcloud CLI wird diese Ressource aus dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Ressource identisch sein, für die Sie die Fehlerbehebung ausführen, es ist jedoch nicht erforderlich.
Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit der Richtlinien-Fehlerbehebung finden Sie in der Tabelle zur Fehlerbehebung von Richtlinien in der Tabelle der von VPC Service Controls unterstützten Produkte.
Policy Simulator API schützen
Wenn Sie die Policy Simulator API mit einem Perimeter einschränken, können Hauptkonten nur dann Richtlinien zulassen, wenn sich bestimmte Ressourcen in der Simulation im selben Perimeter befinden. An einer Simulation sind mehrere Ressourcen beteiligt:
Die Ressource, deren Richtlinie für die Zulassung simuliert wird. Diese Ressource wird auch als Zielressource bezeichnet. In der Google Cloud Console ist dies die Ressource, deren Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und der REST API geben Sie diese Ressource explizit an, wenn Sie eine Zulassungsrichtlinie simulieren.
Das Projekt, der Ordner oder die Organisation, das bzw. die die Simulation erstellt und ausführt. Diese Ressource wird auch als Hostressource bezeichnet. In der Google Cloud Console und der gcloud CLI wird diese Ressource aus dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header
x-goog-user-projectan.Diese Ressource kann mit der Zielressource identisch sein, muss es aber nicht sein.
Die Ressource, die Zugriffslogs für die Simulation bereitstellt. In einer Simulation gibt es immer eine Ressource, die Zugriffslogs für die Simulation bereitstellt. Diese Ressource variiert je nach Ressourcentyp:
- Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, ruft Policy Simulator die Zugriffslogs für dieses Projekt oder diese Organisation ab.
- Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, ruft Policy Simulator die Zugriffslogs für das übergeordnete Projekt oder die übergeordnete Organisation dieser Ressource ab.
- Wenn Sie die Zulassungsrichtlinien für mehrere Ressourcen gleichzeitig simulieren, ruft Policy Simulator die Zugriffslogs für das am häufigsten verwendete Projekt oder die nächstgelegene Organisation ab.
Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien. Wenn Policy Simulator eine Simulation ausführt, werden alle Richtlinien berücksichtigt, die sich auf den Zugriff des Nutzers auswirken können, einschließlich Richtlinien für die Ancestor- und Nachfolgeressourcen der Zielressource. Daher sind diese Ancestor- und Nachfolgeressourcen ebenfalls in Simulationen enthalten.
Wenn sich die Zielressource und die Hostressource nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn sich die Zielressource und die Ressource, die Zugriffslogs für die Simulation bereitstellt, nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn sich die Zielressource und einige unterstützte Ressourcen mit relevanten Zulassungsrichtlinien nicht im selben Perimeter befinden, sind die Anfragen erfolgreich, aber die Ergebnisse sind möglicherweise unvollständig. Wenn Sie beispielsweise eine Richtlinie für ein Projekt in einem Perimeter simulieren, enthalten die Ergebnisse nicht die Zulassungsrichtlinie der übergeordneten Organisation des Projekts, da sich Organisationen immer außerhalb der VPC Service Controls-Perimeter befinden. Sie erhalten umfassendere Ergebnisse, wenn Sie Regeln für eingehenden und ausgehenden Traffic für den Perimeter konfigurieren.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit Policy Simulator finden Sie in der Tabelle mit den Richtliniensimulatoren in den von VPC Service Controls unterstützten Produkten.