Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Faça a gestão da segurança para consumidores do Private Service Connect

Esta página descreve como os consumidores de serviços podem configurar a segurança para organizações de consumidores e redes VPC que usam o Private Service Connect.

As políticas de organização permitem que os administradores controlem amplamente a que redes VPC ou organizações os respetivos projetos se podem ligar através de pontos finais e back-ends do Private Service Connect. As regras de firewall da VPC e as políticas de firewall permitem que os administradores de rede controlem o acesso ao nível da rede aos recursos do Private Service Connect. As políticas da organização e as regras de firewall são complementares e podem ser usadas em conjunto.

Funções

Para receber as autorizações de que precisa para gerir políticas de organização, peça ao seu administrador que lhe conceda a função de IAM de administrador de políticas de organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Para receber as autorizações de que precisa para criar regras de firewall, peça ao seu administrador para lhe conceder a função de IAM Administrador da rede de computação (roles/compute.networkAdmin) na rede da VPC. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Políticas de organizações de consumidores

Pode usar políticas da organização com restrições de listas para controlar a implementação de pontos finais ou back-ends do Private Service Connect. Se um ponto final ou um back-end for bloqueado por uma política da organização do consumidor, a criação do recurso falha.

Para mais informações, consulte as Políticas de organização do lado do consumidor.

Bloqueie a ligação de pontos finais e back-ends a anexos de serviços não autorizados

Recursos: pontos finais e back-ends

gcloud

Crie um ficheiro temporário denominado /tmp/policy.yaml para armazenar a nova política. Adicione o seguinte conteúdo ao ficheiro:
```
name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/PRODUCER_ORG_NUMBER
        - under:organizations/433637338589
```
Substitua o seguinte:
- CONSUMER_ORG: o ID do recurso da organização da organização na qual quer controlar as ligações de back-end e de ponto final.
- PRODUCER_ORG_NUMBER: o ID do recurso numérico da organização produtora à qual quer permitir que os pontos finais e os back-ends se liguem.
Para impedir que os pontos finais e os back-ends se liguem a anexos de serviços que são propriedade da Google, remova o seguinte item da secção allowedValues: - under:organizations/433637338589.

Para especificar organizações adicionais que se podem ligar a anexos de serviços no seu projeto, inclua entradas adicionais na secção allowedValues.

Além das organizações, pode especificar pastas e projetos autorizados no seguinte formato:
- under:folders/FOLDER_ID
  
  O FOLDER_ID tem de ser o ID numérico.
- under:projects/PROJECT_ID
  
  O PROJECT_ID tem de ser o ID da string.
Por exemplo, pode usar o seguinte para criar uma política de organização que bloqueie pontos finais e back-ends em Consumer-org-1 de ligação a anexos de serviços, a menos que os anexos de serviços estejam associados a um valor permitido ou a um descendente de um valor permitido. Os valores permitidos são a organização Producer-org-1, o projeto Producer-project-1 e a pasta Producer-folder-1.
```
name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer
spec:
    rules:
      - values:
          allowedValues:
          - under:organizations/Producer-org-1
          - under:projects/Producer-project-1
          - under:folders/Producer-folder-1
```

Aplique a política.

gcloud org-policies set-policy /tmp/policy.yaml

Consulte a política em vigor.

gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

Impeça que os consumidores implementem pontos finais por tipo de ligação

Recursos: pontos finais

gcloud

Crie um ficheiro temporário denominado /tmp/policy.yaml para armazenar a nova política.
- Para impedir que os utilizadores numa organização de consumidores criem pontos finais que se liguem às APIs Google, adicione o seguinte conteúdo ao ficheiro:
```
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
spec:
  rules:
    - values:
        allowedValues:
        - SERVICE_PRODUCERS
```
- Para impedir que os utilizadores numa organização de consumidor criem pontos finais que se liguem a serviços publicados, adicione o seguinte conteúdo ao ficheiro:
```
name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers
spec:
  rules:
    - values:
        allowedValues:
        - GOOGLE_APIS
```
Substitua CONSUMER_ORG pelo nome da organização de consumidores para a qual quer controlar a implementação do ponto final.

Aplique a política.

gcloud org-policies set-policy /tmp/policy.yaml

Consulte a política em vigor.

gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

Regras de firewall

Recursos: todos

Pode usar regras de firewall da VPC ou políticas de firewall para controlar o acesso aos recursos do Private Service Connect. As regras de firewall de saída podem bloquear ou permitir o acesso de instâncias de VM ao endereço IP ou à sub-rede de pontos finais e back-ends.

Por exemplo, a figura 1 descreve uma configuração em que as regras de firewall controlam o acesso à sub-rede à qual o ponto final do Private Service Connect está ligado.

As regras de firewall controlam o tráfego para a sub-rede do ponto final. O tráfego de `vm-1` pode alcançar a sub-rede do ponto final, enquanto o tráfego de `vm-2` está bloqueado (clique para aumentar).

A seguinte regra de firewall nega todo o tráfego de saída para a sub-rede do ponto final:

gcloud compute firewall-rules create deny-all \
    --network=vpc-1 \
    --direction=egress \
    --action=deny \
    --destination-ranges=10.33.0.0/24
    --priority=1000

A seguinte regra de firewall de prioridade mais elevada permite o tráfego de saída para a sub-rede do ponto final para VMs com a etiqueta de rede allow-psc:

gcloud compute firewall-rules create allow-psc \
    --network=vpc-1 \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=10.33.0.0/24
    --priority=100

Use regras de firewall para limitar o acesso a pontos finais ou back-ends

Para limitar o acesso das VMs à sub-rede de um ponto final ou um back-end, faça o seguinte.

Crie uma regra de firewall para negar o tráfego de saída para o ponto final ou a sub-rede de back-end.
```
gcloud compute firewall-rules create deny-all \
    --network=NETWORK \
    --direction=egress \
    --action=deny \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=1000
```
Substitua o seguinte:
- NETWORK: o nome da rede do seu ponto final ou back-end.
- ENDPOINT_SUBNET_RANGE: o intervalo CIDR de IP do ponto final ou da sub-rede de back-end ao qual quer controlar o acesso.

Crie uma segunda regra de firewall para permitir o tráfego de saída de VMs etiquetadas para o ponto final ou a sub-rede de back-end.

gcloud compute firewall-rules create allow-psc \
    --network=NETWORK \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=100