管理模擬測試設定

本頁面說明如何管理服務範圍的試營運設定。如要瞭解如何管理服務範圍,請參閱管理服務範圍

事前準備

強制執行模擬測試設定

如果對服務範圍的試執行設定感到滿意,即可強制執行該設定。強制執行模擬測試設定時,系統會取代現有周邊裝置的強制執行設定 (如有)。如果沒有強制執行的邊界版本,系統會將試營運設定做為邊界的初始強制執行設定。

更新服務範圍後,變更最多可能需要 30 分鐘才會生效。在這段期間,安全防護範圍可能會封鎖要求,並顯示以下錯誤訊息:Error 403: Request is prohibited by organization's policy.

控制台

  1. 在 Trusted Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」(VPC 服務控制項)

    前往 VPC Service Controls 頁面

  2. 在「VPC Service Controls」頁面上,按一下「模擬測試模式」

  3. 在服務範圍清單中,按一下要強制執行的服務範圍名稱。

  4. 在「服務範圍詳細資料」頁面中,按一下「強制執行設定」

  5. 系統要求您確認是否要覆寫現有的強制設定時,請按一下「Confirm」

gcloud

您可以使用 gcloud 指令列工具,對個別安全防護範圍或所有安全防護範圍強制執行模擬設定。

強制執行一項模擬測試設定

如要對單一重疊範圍強制執行模擬測試設定,請使用 dry-run enforce 指令:

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

其中:

  • PERIMETER_NAME 是您要取得詳細資料的服務範圍名稱。

  • POLICY_NAME 是指您機構的存取權政策名稱。 只有在您未設定預設存取權政策時,才需要這個值。

強制執行所有模擬測試設定

如要對所有範圍強制執行模擬測試設定,請使用 dry-run enforce-all 指令:

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

其中:

  • PERIMETER_NAME 是您要取得詳細資料的服務範圍名稱。

  • ETAG 是代表機構存取權政策目標版本的字串。如未加入 etag,enforce-all 作業會以貴機構存取權政策的最新版本為目標。

    如要取得存取權政策的最新 etag,請list存取存取權政策

  • POLICY_NAME 是指您機構的存取權政策名稱。 只有在您未設定預設存取權政策時,才需要這個值。

API

如要對所有範圍強制執行模擬測試設定,請呼叫 accessPolicies.servicePerimeters.commit

更新模擬測試設定

更新試營運設定時,您可以修改服務、專案和虛擬私有雲可存取服務的清單,以及服務範圍的其他功能。

更新服務範圍後,變更最多可能需要 30 分鐘才會生效。在這段期間,安全防護範圍可能會封鎖要求,並顯示以下錯誤訊息:Error 403: Request is prohibited by organization's policy.

控制台

  1. 在 Trusted Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」(VPC 服務控制項)

    前往 VPC Service Controls 頁面

  2. 在「VPC Service Controls」頁面上,按一下「模擬測試模式」

  3. 在服務範圍清單中,按一下要編輯的服務範圍名稱。

  4. 在「服務範圍詳細資料」頁面中,按一下「編輯」

  5. 在「Edit service perimeter」(編輯服務範圍) 頁面中,變更服務範圍的試營運設定。

  6. 按一下 [儲存]

gcloud

如要在範圍中新增專案,請使用 dry-run update 指令,並指定要新增的資源:

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=RESOURCES \
  [--policy=POLICY_NAME]

其中:

  • PERIMETER_NAME 是您要取得詳細資料的服務範圍名稱。

  • RESOURCES 是以半形逗號分隔的清單,包含一或多個專案編號或虛擬私有雲網路名稱。例如:projects/12345//compute.googleapis.com/projects/my-project/global/networks/vpc1。 只能選取專案和虛擬私有雲網路。專案格式:projects/<project_number>。 虛擬私有雲格式://compute.googleapis.com/projects/<project-id>/global/networks/<network_name>

  • POLICY_NAME 是指您機構的存取權政策名稱。 只有在您未設定預設存取權政策時,才需要這個值。

如要更新受限制服務清單,請使用 dry-run update 指令,並指定要新增為逗號分隔清單的服務:

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

其中:

  • PERIMETER_NAME 是您要取得詳細資料的服務範圍名稱。

  • SERVICES 是包含一或多項服務的逗號分隔清單,例如:storage.googleapis.comstorage.googleapis.com,bigquery.googleapis.com

  • POLICY_NAME 是指您機構的存取權政策名稱。 只有在您未設定預設存取權政策時,才需要這個值。

找出遭封鎖的要求

建立模擬測試設定後,您可以查看記錄,找出模擬測試設定在強制執行時會拒絕存取服務的位置。

控制台

  1. 在 Trusted Cloud 控制台導覽選單中,依序點選「Logging」(記錄) 和「Logs Explorer」(記錄檔探索工具)

    前往記錄檔探索工具

  2. 在「Query」(查詢) 欄位中輸入查詢篩選條件 (如下所示),然後按一下「Run query」(執行查詢)

    log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"

  3. 在「查詢結果」下方查看記錄。

gcloud

如要使用 gcloud CLI 查看記錄,請執行類似下列的指令:

gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'