Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más información.

Se usó la API de Cloud Translation para traducir esta página.

Información sobre el control del acceso a los servicios publicados

En esta página, se describen las funciones que puedes usar para controlar el acceso a los servicios que se publican con Private Service Connect.

Preferencias de conexión

Cada adjunto de servicio tiene una preferencia de conexión que controla si las conexiones se aceptan automáticamente.

Aceptar automáticamente todas las conexiones. El adjunto de servicio acepta automáticamente todas las solicitudes de conexión entrantes de cualquier consumidor.
Aceptar explícitamente las conexiones de los consumidores seleccionados El adjunto de servicio solo acepta las solicitudes de conexión entrantes si el consumidor está en la lista de aceptación del consumidor del adjunto de servicio. Puedes especificar los consumidores por proyecto, red de VPC o extremo de Private Service Connect individual (vista previa). No puedes incluir diferentes tipos de consumidores en la misma lista de aceptación o rechazo de consumidores.

Para cualquiera de las preferencias de conexión, las conexiones aceptadas se pueden anular y rechazar con una política de la organización que bloquee las conexiones entrantes.

Te recomendamos que aceptes explícitamente las conexiones para los consumidores seleccionados. Aceptar todas las conexiones automáticamente podría ser apropiado si controlas el acceso de los consumidores a través de otros medios y quieres habilitar el acceso permisivo a tu servicio.

Listas de aceptación y rechazo del consumidor

Las listas de aceptación del consumidor y las listas de rechazo del consumidor son una función de seguridad de los adjuntos de servicio. Estas listas permiten que los productores de servicios especifiquen qué consumidores pueden establecer conexiones de Private Service Connect con sus servicios. Cuando un adjunto de servicio está configurado para la aprobación explícita, solo se acepta una conexión nueva si el consumidor está en la lista de aceptación y no en la lista de rechazo. Las actualizaciones de las listas de consumidores solo afectan las conexiones nuevas, a menos que la conciliación de conexiones esté habilitada.

Las listas de aceptación y rechazo del consumidor te permiten especificar consumidores de una de las siguientes maneras:

Proyecto
Red de VPC
Extremo de Private Service Connect (vista previa)

Este método no se aplica a los backends de Private Service Connect.

Si agregas el mismo consumidor a las listas de aceptación y rechazo, se bloqueará su conexión al adjunto de servicio. No se admite especificar consumidores por carpeta.

Ambas listas de consumidores de un adjunto de servicio deben contener el mismo tipo de consumidor. Por ejemplo, si agregas un proyecto a una lista de aceptación, no puedes agregar una red de VPC ni un URI de extremo a ninguna de las listas, a menos que reemplaces el proyecto en la lista de aceptación por el nuevo tipo de consumidor.

Si deseas publicar un servicio que acepte diferentes tipos de consumidores, puedes crear varios adjuntos de servicio que se conecten al mismo servicio. Cada adjunto de servicio se puede configurar con su propia preferencia de conexión y listas de consumidores.

Puedes cambiar el tipo de consumidor en las listas de consumidores sin interrumpir las conexiones, pero debes realizar el cambio en una sola actualización. De lo contrario, la operación fallará.

Existen límites para la cantidad de consumidores que puedes agregar a las listas de aceptación y rechazo:

Puedes agregar un máximo de 5,000 valores a la lista de aceptación del consumidor.
Puedes agregar un máximo de 64 valores a la lista de rechazo del consumidor.

Las listas de consumidores controlan si un extremo o un backend pueden conectarse a un servicio publicado, pero no controlan quién puede enviar solicitudes a ese extremo. Por ejemplo, supongamos que un consumidor tiene una red de VPC compartida a la que se adjuntan dos proyectos de servicio. Si un servicio publicado tiene service-project1 en la lista de aceptación del consumidor y service-project2 en la lista de rechazo del consumidor, se aplica lo siguiente:

Un consumidor en service-project1 puede crear un extremo que se conecte al servicio publicado.
Un consumidor en service-project2 no puede crear un extremo que se conecte al servicio publicado.
Un cliente en service-project2 puede enviar solicitudes al extremo en service-project1 si no hay reglas o políticas de firewall que impidan ese tráfico.

Para obtener información sobre cómo interactúan las listas de aceptación del consumidor con las políticas de la organización, consulta Interacción entre las listas de aceptación del consumidor y las políticas de la organización.

Límites de la lista de aceptación del consumidor

Las listas de aceptación del consumidor tienen límites de conexión. Estos límites establecen la cantidad total de conexiones de extremo de Private Service Connect que un adjunto de servicio puede aceptar desde el proyecto del consumidor o la VPC especificados en tu red de VPC.

Los productores pueden usar estos límites de conexiones para evitar que los consumidores individuales agoten las direcciones IP o las cuotas de recursos en la red de VPC del productor. Cada conexión aceptada de Private Service Connect se resta del límite configurado para un proyecto de consumidor o una red de VPC. Los límites se establecen cuando creas o actualizas las listas de aceptación del consumidor. Puedes ver las conexiones de los adjuntos de servicio cuando describes un adjunto de servicio.

Por ejemplo, imagina un caso en el que un adjunto de servicio tiene una lista de aceptación del consumidor que incluye project-1 y project-2, ambos con un límite de una conexión. El proyecto project-1 solicita dos conexiones, project-2 una conexión y project-3 solicita otra. Debido a que project-1 tiene un límite de una conexión, se acepta la primera y la segunda permanece pendiente. Se acepta la conexión de project-2 y la conexión de project-3 permanece pendiente. Se puede aceptar la segunda conexión de project-1 si aumentas el límite de project-1. Si se agrega project-3 a la lista de aceptación del consumidor, esa conexión pasa de pendiente a aceptada.

Conciliación de conexiones

La conciliación de conexiones determina si las actualizaciones de las listas de aceptación o rechazo de un adjunto de servicio pueden afectar las conexiones existentes de Private Service Connect. Si la conciliación de conexiones está habilitada, la actualización o la denegación de las listas puede finalizar las conexiones existentes. Se pueden aceptar las conexiones que se rechazaron antes. Si la conciliación de conexiones está inhabilitada, la actualización de las listas de aceptación o rechazo solo afecta las conexiones nuevas y pendientes.

Por ejemplo, considera un adjunto de servicio que tiene varias conexiones aceptadas de Project-A. Project-A está en la lista de aceptación del adjunto de servicio. El adjunto de servicio se actualiza mediante la eliminación de Project-A de la lista de aceptación.

Si la conciliación de conexiones está habilitada, todas las conexiones existentes de Project-A realizan la transición a PENDING, lo que finaliza la conectividad de red entre las dos redes de VPC y detiene el tráfico de red de inmediato.

Si la conciliación de conexiones está inhabilitada, las conexiones existentes de Project-A no se verán afectadas. El tráfico de red aún puede fluir a través de las conexiones existentes de Private Service Connect. Sin embargo, no se permiten conexiones nuevas de Private Service Connect.

Para obtener información sobre cómo configurar la conciliación de conexiones para adjuntos de servicio nuevos, consulta Publica un servicio con aprobación explícita.

Para obtener más información sobre cómo configurar la conciliación de conexiones para adjuntos de servicio existentes, consulta Configura la conciliación de conexiones.

Aceptar o rechazar conexiones de extremos de Private Service Connect

Puedes aceptar o rechazar conexiones de extremos de Private Service Connect individuales agregando el URI basado en el ID del extremo a una de las listas de consumidores de un adjunto de servicio. Este enfoque, que se recomienda para los servicios de múltiples usuarios, proporciona el control más detallado para administrar las conexiones. La aceptación de consumidores por extremo de Private Service Connect solo se aplica a los extremos de Private Service Connect y no admite backends de Private Service Connect.

A diferencia de los proyectos o las redes de VPC, solo puedes aceptar o rechazar un extremo de Private Service Connect individual después de que el consumidor lo cree. Esto se debe a que el URI único de un extremo no se conoce hasta que el consumidor crea el extremo. Para agregar un extremo a una lista de aceptación del consumidor, sigue estos pasos:

El productor publica un servicio que requiere aprobación explícita, sin agregar ningún valor a la lista de aceptación del consumidor.
Un consumidor crea un extremo que se conecta al servicio publicado. La conexión se ve en el adjunto de servicio con el estado Pending.
Para encontrar el URI basado en el ID del extremo pendiente, el productor puede describir el adjunto de servicio, o bien el consumidor puede describir el extremo.
El productor agrega el URI basado en el ID del extremo a la lista de aceptación del consumidor. Se establece la conexión y su estado cambia a Accepted.