Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Cette page a été traduite par l'API Cloud Translation.

À propos du contrôle de l'accès aux services publiés

Cette page décrit les fonctionnalités que vous pouvez utiliser pour contrôler l'accès aux services publiés à l'aide de Private Service Connect.

Préférences de connexion

Chaque rattachement de service possède une préférence de connexion qui indique si les connexions sont automatiquement acceptées.

Accepter automatiquement toutes les connexions. Le rattachement de service accepte automatiquement toutes les requêtes de connexion entrantes de n'importe quel client.
Acceptez explicitement les connexions de certains consommateurs. Le rattachement de service n'accepte les requêtes de connexion entrantes que si le client figure sur la liste d'acceptation des rattachements de service. Vous pouvez spécifier les consommateurs par projet, par réseau VPC ou par point de terminaison Private Service Connect individuel (aperçu). Vous ne pouvez pas inclure différents types de consommateurs dans la même liste d'acceptation ou de refus.

Quelle que soit la préférence de connexion, les connexions acceptées peuvent être remplacées et refusées par une règle d'administration qui bloque les connexions entrantes.

Nous vous recommandons d'accepter explicitement les connexions pour les consommateurs sélectionnés. L'acceptation automatique de toutes les connexions peut être appropriée si vous contrôlez l'accès des clients par d'autres moyens et que vous souhaitez offrir un accès permissif à votre service.

Listes d'acceptation et de refus client

Les listes d'acceptation des clients et les listes de refus des clients sont une fonctionnalité de sécurité des rattachements de service. Ces listes permettent aux producteurs de services de spécifier les clients qui peuvent établir des connexions Private Service Connect à leurs services. Lorsqu'un rattachement de service est configuré pour une approbation explicite, une nouvelle connexion n'est acceptée que si le client figure dans la liste d'acceptation et non dans la liste de refus. Les modifications apportées aux listes de consommateurs n'affectent que les nouvelles connexions, sauf si le rapprochement des connexions est activé.

Les listes d'acceptation et de refus des clients vous permettent de spécifier les clients de l'une des manières suivantes :

Projet
Réseau VPC
Point de terminaison Private Service Connect (preview)

Cette méthode ne s'applique pas aux backends Private Service Connect.

Si vous ajoutez le même client à la liste d'acceptation et à la liste de refus, il ne pourra pas se connecter au rattachement de service. Il n'est pas possible de spécifier des clients par dossier.

Les deux listes de clients d'un rattachement de service doivent contenir le même type de client. Par exemple, si vous ajoutez un projet à une liste d'acceptation, vous ne pouvez pas ajouter de réseau VPC ni d'URI de point de terminaison à l'une ou l'autre des listes, sauf si vous remplacez le projet dans la liste d'acceptation par le nouveau type de consommateur.

Si vous souhaitez publier un service qui accepte différents types de consommateurs, vous pouvez créer plusieurs rattachements de service qui se connectent au même service. Chaque rattachement de service peut être configuré avec sa propre préférence de connexion et ses propres listes de consommateurs.

Vous pouvez modifier le type de consommateur dans les listes de consommateurs sans interrompre les connexions, mais vous devez effectuer la modification en une seule mise à jour. Sinon, l'opération échouera.

Le nombre de clients que vous pouvez ajouter aux listes d'acceptation et de refus est limité :

Vous pouvez ajouter jusqu'à 5 000 valeurs à la liste des consommateurs acceptés.
Vous pouvez ajouter jusqu'à 64 valeurs à la liste des refus des consommateurs.

Les listes de clients contrôlent si un point de terminaison ou un backend peuvent se connecter à un service publié, mais elles ne contrôlent pas qui peut envoyer des requêtes à ce point de terminaison. Par exemple, supposons qu'un consommateur dispose d'un réseau VPC partagé auquel sont associés deux projets de service. Si un service publié comporte service-project1 dans la liste d'acceptation des clients et service-project2 dans la liste de refus des clients, les règles suivantes s'appliquent :

Un client dans service-project1 peut créer un point de terminaison qui se connecte au service publié.
Un consommateur dans service-project2 ne peut pas créer de point de terminaison qui se connecte au service publié.
Un client dans service-project2 peut envoyer des requêtes au point de terminaison dans service-project1, s'il n'existe aucune règle ni stratégie de pare-feu empêchant ce trafic.

Pour en savoir plus sur la manière dont les listes d'acceptation des clients interagissent avec les règles d'administration, consultez la page Interaction entre les listes d'acceptation des clients et les règles d'administration.

Limites des listes d'acceptation des clients

Les listes d'acceptation des clients sont soumises à des limites de connexion. Ces limites définissent le nombre total de connexions de point de terminaison Private Service Connect qu'un rattachement de service peut accepter à partir du projet client ou du réseau VPC spécifié.

Les producteurs peuvent utiliser les limites de connexion pour empêcher les clients individuels d'épuiser les adresses IP ou les quotas de ressources du réseau VPC producteur. Chaque connexion Private Service Connect acceptée soustrait la limite configurée pour un projet client ou un réseau VPC. Les limites sont définies lorsque vous créez ou mettez à jour les listes d'acceptation des clients. Vous pouvez afficher les connexions d'un rattachement de service lorsque vous décrivez ce rattachement.

Par exemple, considérons un rattachement de service doté d'une liste d'acceptation client qui inclut project-1 et project-2, toutes deux avec une limite d'une connexion. Le projet project-1 demande deux connexions, project-2 demande une connexion et project-3 demande une connexion. Étant donné que project-1 a une limite d'une connexion, la première connexion est acceptée et la seconde reste en attente. La connexion provenant de project-2 est acceptée, et la connexion provenant de project-3 reste en attente. La deuxième connexion depuis project-1 peut être acceptée en augmentant la limite de project-1. Si project-3 est ajouté à la liste d'acceptation des clients, cette connexion passe de l'état "En attente" à l'état "Acceptée".

Rapprochement des connexions

Le rapprochement des connexions détermine si les mises à jour des listes d'acceptation ou de refus d'un rattachement de service peuvent affecter les connexions Private Service Connect existantes. Si le rapprochement des connexions est activé, la mise à jour des listes d'acceptation ou de refus peut mettre fin aux connexions existantes. Les connexions précédemment refusées peuvent devenir acceptées. Si le rapprochement des connexions est désactivé, la mise à jour des listes d'acceptation ou de refus n'affecte que les connexions nouvelles et en attente.

Prenons l'exemple d'un rattachement de service avec plusieurs connexions acceptées à partir de Project-A. Project-A figure sur la liste d'acceptation du rattachement de service. Le rattachement de service est mis à jour en supprimant Project-A de la liste d'acceptation.

Si le rapprochement des connexions est activé, toutes les connexions existantes provenant de Project-A passent en PENDING, ce qui met fin à la connectivité réseau entre les deux réseaux VPC et interrompt immédiatement le trafic réseau.

Si le rapprochement des connexions est désactivé, les connexions existantes provenant de Project-A ne sont pas affectées. Le trafic réseau peut toujours circuler sur les connexions Private Service Connect existantes. Cependant, toute nouvelle connexion Private Service Connect n'est pas autorisée.

Pour en savoir plus sur la configuration du rapprochement des connexions pour les nouveaux rattachements de service, consultez la page Publier un service avec approbation explicite.

Pour en savoir plus sur la configuration du rapprochement des connexions pour les rattachements de service existants, consultez la page Configurer le rapprochement des connexions.

Accepter ou refuser les connexions aux points de terminaison Private Service Connect

Vous pouvez accepter ou refuser des connexions de points de terminaison Private Service Connect individuels en ajoutant l'URI basé sur l'ID du point de terminaison à l'une des listes de consommateurs d'un rattachement de service. Cette approche, recommandée pour les services multitenants, offre le contrôle le plus précis pour la gestion des connexions. L'acceptation des consommateurs par point de terminaison Private Service Connect ne s'applique qu'aux points de terminaison Private Service Connect et n'est pas compatible avec les backends Private Service Connect.

Contrairement aux projets ou aux réseaux VPC, vous ne pouvez accepter ou refuser un point de terminaison Private Service Connect individuel qu'une fois que le consommateur l'a créé. En effet, l'URI unique d'un point de terminaison n'est connu qu'une fois que le consommateur a créé le point de terminaison. Pour ajouter un point de terminaison à une liste d'acceptation des consommateurs, procédez comme suit :

Le producteur publie un service qui nécessite une approbation explicite, sans ajouter de valeurs à la liste d'acceptation des clients.
Un client crée un point de terminaison qui se connecte au service publié. La connexion est visible dans le rattachement de service avec l'état Pending.
Pour trouver l'URI basé sur l'ID du point de terminaison en attente, le producteur peut décrire le rattachement de service ou le consommateur peut décrire le point de terminaison.
Le producteur ajoute l'URI basé sur l'ID du point de terminaison à la liste d'acceptation des clients. La connexion est établie et son état passe à Accepted.