ניהול הגדרות של הרצת בדיקה

בדף הזה מוסבר איך לנהל את הגדרת ההרצה היבשה של גבולות השירות. מידע על ניהול גבולות גזרה לשירות זמין במאמר ניהול גבולות גזרה לשירות.

לפני שמתחילים

אכיפת הגדרת הרצת בדיקה

אחרי שאתם מרוצים מההגדרה של הרצת בדיקה של גבולות גזרה לשירות, אתם יכולים לאכוף את ההגדרה הזו. כשמפעילים הגדרת הרצת בדיקה, היא מחליפה את ההגדרה הנוכחית שנאכפת עבור גבולות גזרה, אם קיימת כזו. אם לא קיימת גרסה מחייבת של גבולות הגזרה, ההגדרה של הרצת הבדיקה משמשת כהגדרה המחייבת הראשונית של גבולות הגזרה.

Google Cloud

אחרי שמעדכנים את גבולות הגזרה לשירות, יכול להיות שיחלפו עד 30 דקות עד שהשינויים יופצו וייכנסו לתוקף. במהלך הזמן הזה, יכול להיות שגבולות הגזרה יחסמו בקשות עם הודעת השגיאה הבאה: Error 403: Request is prohibited by organization's policy.

המסוף

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר לדף VPC Service Controls

  2. בדף VPC Service Controls, לוחצים על מצב פרימטר לבדיקות.

  3. ברשימת גבולות השירות, לוחצים על השם של גבול השירות שרוצים לאכוף.

  4. בדף פרטים של גבולות גזרה לשירות, לוחצים על החלת ההגדרה.

  5. כשמתבקשים לאשר שרוצים להחליף את ההגדרה הקיימת, לוחצים על אישור.

gcloud

אפשר להשתמש בכלי gcloud של שורת הפקודה כדי לאכוף את ההגדרה היבשה של גבול גזרה בודד, וגם של כל גבולות הגזרה בו-זמנית.

אכיפת הגדרה אחת של הרצת בדיקה

כדי לאכוף את ההגדרה של הרצת בדיקה עבור גבולות גזרה יחידים, משתמשים בפקודה dry-run enforce:

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

כאשר:

  • PERIMETER_NAME הוא השם של גבולות גזרה לשירות שרוצים לקבל פרטים לגביו.

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון. הערך הזה נדרש רק אם לא הגדרתם מדיניות גישה שמוגדרת כברירת מחדל.

אכיפת כל הגדרות הרצת הבדיקה

כדי לאכוף את הגדרת ההרצה היבשה על כל ההיקפים, משתמשים בפקודה dry-run enforce-all:

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

כאשר:

  • PERIMETER_NAME הוא השם של גבולות גזרה לשירות שרוצים לקבל פרטים לגביו.

  • ETAG הוא מחרוזת שמייצגת את גרסת היעד של מדיניות הגישה של הארגון. אם לא מציינים etag, פעולת enforce-all מכוונת לגרסה האחרונה של מדיניות הגישה של הארגון.

    כדי לקבל את ה-etag העדכני ביותר של מדיניות הגישה, צריך list את מדיניות הגישה.

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון. הערך הזה נדרש רק אם לא הגדרתם מדיניות גישה שמוגדרת כברירת מחדל.

API

כדי לאכוף את הגדרות הבדיקה על כל גבולות הגזרה, קוראים לפונקציה accessPolicies.servicePerimeters.commit.

עדכון של הגדרת הרצה יבשה

כשמעדכנים הגדרת הרצת בדיקה, אפשר לשנות את רשימת השירותים, הפרויקטים והשירותים שניתן לגשת אליהם ב-VPC, בין היתר.

אחרי שמעדכנים את גבולות הגזרה לשירות, יכול להיות שיחלפו עד 30 דקות עד שהשינויים יופצו וייכנסו לתוקף. במהלך הזמן הזה, יכול להיות שגבולות הגזרה יחסמו בקשות עם הודעת השגיאה הבאה: Error 403: Request is prohibited by organization's policy.

המסוף

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר לדף VPC Service Controls

  2. בדף VPC Service Controls, לוחצים על מצב פרימטר לבדיקות.

  3. ברשימת הגדרות ההיקף של השירות, לוחצים על השם של הגדרת ההיקף של השירות שרוצים לערוך.

  4. בדף פרטים של גבולות גזרה לשירות, לוחצים על עריכה.

  5. בדף Edit service perimeter (עריכת גבולות הגזרה לשירות), מבצעים שינויים בהגדרות של הרצת בדיקה של גבולות הגזרה לשירות.

  6. לוחצים על Save.

gcloud

כדי להוסיף פרויקטים חדשים לגבולות גזרה, משתמשים בפקודה dry-run update ומציינים את המשאבים שרוצים להוסיף:

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=RESOURCES \
  [--policy=POLICY_NAME]

כאשר:

  • PERIMETER_NAME הוא השם של גבולות גזרה לשירות שרוצים לקבל פרטים לגביו.

  • RESOURCES היא רשימה של מספר פרויקט אחד או יותר או שמות של רשתות VPC, שמופרדים באמצעות פסיקים. לדוגמה: projects/12345 או //compute.googleapis.com/projects/my-project/global/networks/vpc1. מותר להשתמש רק בפרויקטים וברשתות VPC. פורמט הפרויקט: projects/<project_number>. פורמט VPC: //compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון. הערך הזה נדרש רק אם לא הגדרתם מדיניות גישה שמוגדרת כברירת מחדל.

כדי לעדכן את רשימת השירותים המוגבלים, משתמשים בפקודה dry-run update ומציינים את השירותים שרוצים להוסיף כרשימה מופרדת בפסיקים:

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

כאשר:

  • PERIMETER_NAME הוא השם של גבולות גזרה לשירות שרוצים לקבל פרטים לגביו.

  • SERVICES היא רשימה מופרדת בפסיקים של שירות אחד או יותר. לדוגמה: storage.googleapis.com או storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון. הערך הזה נדרש רק אם לא הגדרתם מדיניות גישה שמוגדרת כברירת מחדל.

זיהוי בקשות חסומות

אחרי שיוצרים הגדרת הרצה יבשה, אפשר לבדוק את היומנים כדי לזהות איפה הגדרת ההרצה היבשה תחסום גישה לשירותים אם היא תיאכף.

המסוף

  1. בתפריט הניווט של Google Cloud המסוף, לוחצים על Logging ואז על Logs Explorer.

    כניסה לדף Logs Explorer

  2. בשדה Query, מזינים מסנן שאילתות כמו המסנן הבא ולוחצים על Run query.

    log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"

  3. היומנים מוצגים בקטע Query results.

gcloud

כדי להציג יומנים באמצעות ה-CLI של gcloud, מריצים פקודה כמו הפקודה הבאה:

gcloud logging read 'log_id("cloudaudit.googleapis.com/policy") AND severity="error" AND protoPayload.metadata.dryRun="true"'