Policy Intelligence APIs mit VPC Service Controls schützen

Mit VPC Service Controls können Sie perimeters erstellen, die sich um Ihre Google Cloud-Ressourcen erstrecken. Sie können dann Sicherheitsrichtlinien definieren, mit denen der Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindert wird. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.

Mit VPC Service Controls können Sie die folgenden Policy Intelligence APIs schützen:

  • Policy Troubleshooter API
  • Policy Simulator API

Richtlinien-Fehlerbehebungs-API schützen

VPC Service Controls unterstützt Sie bei der Fehlerbehebung bei Richtlinien.

Wenn Sie die Policy Troubleshooter API mit einem Perimeter einschränken, können Hauptkonten Fehler bei IAM-Richtlinien nur dann beheben, wenn sich alle an der Anfrage beteiligten Ressourcen im selben Perimeter befinden. In der Regel sind an einer Anfrage zur Fehlerbehebung zwei Ressourcen beteiligt:

  • Die Ressource, für die Sie Probleme mit dem Zugriff beheben. Die Ressource kann einen beliebigen Typ haben. Sie geben diese Ressource explizit an, wenn Sie Fehler in einer IAM-Richtlinie beheben.

  • Die Ressource, die Sie für die Fehlerbehebung beim Zugriff verwenden. Diese Ressource muss ein Projekt, ein Ordner oder eine Organisation sein. In der Google Cloud Console und der gcloud CLI wird diese Ressource aus dem Projekt, dem Ordner oder der Organisation abgeleitet, das bzw. die Sie ausgewählt haben. In der REST API geben Sie diese Ressource mit dem Header x-goog-user-project an.

    Diese Ressource kann mit der Ressource identisch sein, für die Sie die Fehlerbehebung für den Zugriff durchführen. Das ist aber nicht zwingend erforderlich.

Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.

Weitere Informationen zur Funktionsweise von VPC Service Controls mit der Richtlinien-Fehlerbehebung finden Sie in der Tabelle der von VPC Service Controls unterstützten Produkte im Eintrag Richtlinien-Fehlerbehebung.

Policy Simulator API schützen

Wenn Sie die Policy Simulator API mit einem Perimeter einschränken, können Hauptkonten Zulassungsrichtlinien nur simulieren, wenn sich bestimmte an der Simulation beteiligte Ressourcen im selben Perimeter befinden. An einer Simulation sind mehrere Ressourcen beteiligt:

  • Die Ressource, deren Zulassungsrichtlinie Sie simulieren. Diese Ressource wird auch als Zielressource bezeichnet. In der Google Cloud Console ist dies die Ressource, deren Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und der REST API geben Sie diese Ressource explizit an, wenn Sie eine Zulassungsrichtlinie simulieren.

  • Das Projekt, der Ordner oder die Organisation, das oder die die Simulation erstellt und ausführt. Diese Ressource wird auch als Hostressource bezeichnet. In der Google Cloud Console und der gcloud CLI wird diese Ressource anhand des ausgewählten Projekts, Ordners oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header x-goog-user-project an.

    Diese Ressource kann mit der Zielressource identisch sein, das ist aber nicht zwingend erforderlich.

  • Die Ressource, die Zugriffslogs für die Simulation bereitstellt. In einer Simulation gibt es immer eine Ressource, die Zugriffslogs für die Simulation bereitstellt. Diese Ressource variiert je nach Zielressourcentyp:

    • Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, ruft Policy Simulator die Zugriffslogs für dieses Projekt oder diese Organisation ab.
    • Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, ruft Policy Simulator die Zugriffslogs für das übergeordnete Projekt oder die übergeordnete Organisation dieser Ressource ab.
    • Wenn Sie die Zulassungsrichtlinien mehrerer Ressourcen gleichzeitig simulieren, ruft Policy Simulator die Zugriffslogs für das nächstgelegene gemeinsame Projekt oder die nächstgelegene gemeinsame Organisation ab.
  • Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien. Wenn Policy Simulator eine Simulation ausführt, werden alle Zulassungsrichtlinien berücksichtigt, die sich auf den Zugriff des Nutzers auswirken können, einschließlich Zulassungsrichtlinien für den Ancestor und die untergeordneten Ressourcen der Zielressource. Daher sind diese Ancestor- und Nachfolgerressourcen auch an Simulationen beteiligt.

Wenn sich die Zielressource und die Hostressource nicht im selben Perimeter befinden, schlägt die Anfrage fehl.

Wenn sich die Zielressource und die Ressource, die Zugriffslogs für die Simulation bereitstellt, nicht im selben Perimeter befinden, schlägt die Anfrage fehl.

Wenn sich die Zielressource und einige unterstützte Ressourcen mit relevanten Zulassungsrichtlinien nicht im selben Perimeter befinden, sind die Anfragen erfolgreich, aber die Ergebnisse sind möglicherweise unvollständig. Wenn Sie beispielsweise eine Richtlinie für ein Projekt in einem Perimeter simulieren, enthalten die Ergebnisse nicht die Zulassungsrichtlinie der übergeordneten Organisation des Projekts, da sich die Organisationen immer außerhalb der VPC Service Controls-Perimeter befinden. Wenn Sie umfassendere Ergebnisse erhalten möchten, können Sie für den Perimeter Regeln für ein- und ausgehenden Traffic konfigurieren.

Weitere Informationen zur Funktionsweise von VPC Service Controls mit Policy Simulator finden Sie im Eintrag Policy Simulator in der Tabelle der von VPC Service Controls unterstützten Produkte.

Nächste Schritte