שימוש ב-Security Health Analytics

בדף הזה מוסבר איך לנהל ממצאים של Security Health Analytics באמצעות Security Command Center.

‫Security Health Analytics הוא שירות מובנה ב-Security Command Center שסורק את המשאבים בסביבת הענן ומפיק ממצאים לגבי כל טעות בהגדרות שהוא מזהה.

כדי לקבל ממצאים מ-Security Health Analytics, צריך להפעיל את השירות בהגדרות Services (שירותים) ב-Security Command Center.

כדי ליצור ממצאים שקשורים למשאבי Amazon Web Services‏ (AWS), צריך לקשר את Security Command Center ל-AWS.

אפשר לחפש את הממצאים של גלאי Security Health Analytics ב-Google Cloud console ובאמצעות Security Command Center API.

הסריקות מתחילות כשעה אחרי שמפעילים את Security Command Center. במצב מופעל Google Cloud, הסריקות פועלות בשני מצבים: מצב אצווה, שפועל אוטומטית פעם ביום לכל הארגונים והפרויקטים הרשומים, ומצב בזמן אמת, שפועל על שינויים בהגדרות הנכסים. במהדורות Standard ו-Standard-legacy של Security Command Center, הסריקה של ההטמעה מופעלת כל 48 שעות, ולכן יכול להיות שיהיה עיכוב של 72 שעות בעדכון הממצאים.

כל הגלאים מתוזמנים לפעול פעם ביום בכל הארגונים או הפרויקטים שנרשמו.

גלאים של Security Health Analytics שלא תומכים במצב סריקה בזמן אמת מפורטים בסקירה כללית של זמן האחזור ב-Security Command Center.

‫Security Health Analytics סורק פלטפורמות ענן אחרות רק במצב אצווה.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות לניהול הממצאים של Security Health Analytics, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הפעלה והשבתה של גלאים

השבתה של גלאים יכולה להשפיע על המצב של ממצאים פעילים. כשמשביתים גלאי, הממצאים הקיימים מסומנים אוטומטית כלא פעילים.

כשמפעילים את Security Command Center ברמת הארגון, אפשר להשבית את Security Health Analytics או גלאים ספציפיים בתיקיות או בפרויקטים ספציפיים. אם השבתתם את Security Health Analytics או את אמצעי הזיהוי בתיקיות ובפרויקטים, כל הממצאים הקיימים שצורפו לנכסים במשאבים האלה יסומנו כלא פעילים.

מזהי התוכן הבאים של Security Health Analytics עבור Google Cloud מושבתים כברירת מחדל:

  • ALLOYDB_AUTO_BACKUP_DISABLED
  • ALLOYDB_CMEK_DISABLED
  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

כדי להפעיל או להשבית מודול זיהוי ב-Security Health Analytics:

המסוף

אם שירות Security Health Analytics מופעל, אפשר להגדיר את מצב ההפעלה של המודולים שלו.

  1. נכנסים לדף Modules במסוף Google Cloud של Security Health Analytics.

    מעבר אל 'מודולים'

  2. בוחרים את הארגון או הפרויקט.
  3. בכרטיסייה Modules, בעמודה Status, בוחרים את הסטטוס הנוכחי של המודול שרוצים להפעיל או להשבית, ואז בוחרים באחת מהאפשרויות הבאות:
    • הפעלה: הפעלת המודול.
    • השבתה: השבתת המודול.

gcloud

כדי להפעיל מזהה, שנקרא גם מודול, מריצים את הפקודה gcloud alpha scc settings services modules enable.

אם הפעלתם את Security Command Center ברמת הארגון, מריצים את הפקודה הבאה:

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון
  • DETECTOR_NAME: השם של אמצעי הזיהוי שרוצים להפעיל

אם הפעלתם את Security Command Center ברמת הפרויקט, מריצים את הפקודה הבאה:

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט
  • DETECTOR_NAME: השם של אמצעי הזיהוי שרוצים להפעיל

כדי להשבית גלאי, מריצים את הפקודה gcloud alpha scc settings services modules disable.

אם הפעלתם את Security Command Center ברמת הארגון, מריצים את הפקודה הבאה:

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון
  • DETECTOR_NAME: השם של אמצעי הזיהוי שרוצים להשבית

אם הפעלתם את Security Command Center ברמת הפרויקט, מריצים את הפקודה הבאה:

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט
  • DETECTOR_NAME: השם של אמצעי הזיהוי שרוצים להשבית

מידע נוסף על מצבים ב-Security Health Analytics זמין במאמר איתור מצבים.

סינון הממצאים במסוף Google Cloud

בארגון גדול יכולות להיות הרבה נקודות חולשה בפריסה שלו שצריך לבדוק, לסווג ולעקוב אחריהן. בעזרת המסננים שזמינים בדפים Vulnerabilities (נקודות חולשה) ו-Findings (ממצאים) ב Google Cloud מסוף של Security Command Center, אתם יכולים להתמקד בנקודות החולשה ברמת החומרה הגבוהה ביותר בארגון, ולבדוק נקודות חולשה לפי סוג הנכס, הפרויקט ועוד.

מידע נוסף על סינון ממצאים של נקודות חולשה זמין במאמר סינון ממצאים של נקודות חולשה ב-Security Command Center.

ניהול ממצאים באמצעות בקשות תמיכה

ב-Security Command Center נפתח אוטומטית case במסוף Security Operations לאיומים, לשילובים רעילים ולממצאים שקשורים לשילובים רעילים. כל מקרה יכול להכיל כמה ממצאים קשורים.

אפשר להשתמש במקרה, שאפשר לשלב אותו עם מערכת אירועים המועדפת שלכם, כדי לנהל את החקירה והתיקון של הממצאים. לשם כך, אפשר להקצות בעלים, לבדוק מידע שקשור לממצאים ולהשתמש ב-Playbooks כדי להפוך את תהליך העבודה של התגובה לאוטומטי.

אם לממצא יש פנייה תואמת, אפשר למצוא קישור לפנייה בדף הפרטים של הממצא. פותחים את דף הפרטים של ממצא מתוך הדף ממצאים.

מידע נוסף על בקשות תמיכה זמין במאמר סקירה כללית על בקשות תמיכה.

השתקת ממצאים

כדי לשלוט בעוצמת הקול של הממצאים ב- Google Cloud console, אפשר להשתיק ממצאים ספציפיים באופן ידני או באמצעות תוכנה, או ליצור כללי השתקה שמשתיקים אוטומטית ממצאים על סמך מסננים שאתם מגדירים. יש שני סוגים של כללי השתקה שבהם אפשר להשתמש כדי לשלוט בעוצמת הקול של ממצאים:

  • כללי השתקה סטטיים שמשתיקים ממצאים עתידיים ללא הגבלת זמן.
  • כללי השתקה דינמיים שכוללים אפשרות להשתיק באופן זמני ממצאים נוכחיים וגם ממצאים עתידיים.

מומלץ להשתמש רק בכללים להשתקה דינמית כדי לצמצם את מספר הממצאים שצריך לבדוק באופן ידני. כדי למנוע בלבול, לא מומלץ להשתמש בכללים להשתקה סטטית ודינמית בו-זמנית. השוואה בין שני סוגי הכללים להשתקה

ממצאים שמשתיקים במסוף Google Cloud מוסתרים ומושתקים, אבל ממשיכים להירשם לצורכי ביקורת ותאימות. בכל שלב אפשר לראות את הממצאים שהושתקו או לבטל את ההשתקה שלהם. מידע נוסף זמין במאמר בנושא השתקת ממצאים ב-Security Command Center.

סימון נכסים וממצאים באמצעות סימני אבטחה

אפשר להוסיף מאפיינים מותאמים אישית לממצאים ולנכסים ב-Security Command Center באמצעות תגי אבטחה. סימני אבטחה מאפשרים לכם לזהות אזורים חשובים כמו פרויקטים של ייצור, לתייג ממצאים עם מספרי מעקב של באגים ואירועים ועוד.

במקרה של נכסים, אפשר להוסיף סימני אבטחה רק לנכסים ש-Security Command Center תומך בהם. רשימת הנכסים הנתמכים מופיעה במאמר סוגי נכסים נתמכים ב-Security Command Center.

הוספת נכסים לרשימות היתרים

למרות שלא מומלץ להשתמש בשיטה הזו, אתם יכולים להשבית את הממצאים שלא נחוצים לכם על ידי הוספת סימני אבטחה ייעודיים לנכסים, כדי שגלאי האבטחה של Security Health Analytics לא ייצרו ממצאי אבטחה לגבי הנכסים האלה.

הגישה המומלצת והיעילה ביותר לשליטה בנפח הממצאים היא השתקת הממצאים. אפשר להשתיק ממצאים שלא צריך לבדוק, כי הם מתייחסים לנכסים מבודדים או כי הם נמצאים בטווח הפרמטרים העסקיים המקובלים.

כשמחילים על נכסים סימני אבטחה ייעודיים, הנכסים מתווספים לרשימת ההיתרים ב-Security Health Analytics, וכך כל הממצאים לגבי הנכסים האלה מסומנים כפתורים במהלך הסריקה הבאה של קבוצת נתונים.

צריך להחיל סימני אבטחה ייעודיים ישירות על נכסים, ולא על ממצאים, כמו שמתואר בקטע איך פועלות רשימות ההיתרים בהמשך הדף. אם מוסיפים סימון לממצא, הנכס הבסיסי עדיין יכול ליצור ממצאים.

איך פועלת רשימת ההיתרים

לכל גלאי ב-Security Health Analytics יש סוג סימון ייעודי לרשימות ההיתרים, בצורה של allow_FINDING_TYPE:true. הוספת הסימון הייעודי הזה לנכס שנתמך על ידי Security Command Center מאפשרת לכם להחריג את הנכס ממדיניות הזיהוי.

לדוגמה, כדי להחריג את סוג הממצא SSL_NOT_ENFORCED, מגדירים את תג האבטחה allow_ssl_not_enforced:true במופע Cloud SQL הרלוונטי. הממצאים של הגלאי שצוין לא ייווצרו עבור נכסים מסומנים.

רשימה מלאה של סוגי הממצאים מופיעה במאמר רשימת הגלאים של Security Health Analytics. מידע נוסף על סימני אבטחה וטכניקות לשימוש בהם זמין במאמר שימוש בסימני אבטחה.

סוגי נכסים

בסעיף הזה מוסבר איך סימוני אבטחה פועלים בנכסים שונים.

  • הוספה לרשימת ההיתרים של נכסים: כשמוסיפים סימן ייעודי לנכס, כמו קטגוריה של Cloud Storage או חומת אש, הממצא המשויך מסומן כפתור כשמופעל הסריקה הבאה של קבוצת הפריטים. הכלי לזיהוי לא ייצור ממצאים חדשים או יעודכן ממצאים קיימים לגבי הנכס עד שהסימון יוסר.

  • הוספת פרויקטים לרשימת ההיתרים: כשמוסיפים סימון למשאב פרויקט, הממצאים שבהם הפרויקט עצמו הוא המשאב שנסרק או המשאב המטרה נפתרים. עם זאת, נכסים שנכללים בפרויקט, כמו מכונות וירטואליות או מפתחות הצפנה, עדיין יכולים ליצור ממצאים. סימן האבטחה הזה זמין רק אם מפעילים את רמת הפרימיום של Security Command Center ברמת הארגון.

  • תיקיות ברשימת ההיתרים: כשמוסיפים סימון למשאב תיקייה, הממצאים שהתיקייה עצמה היא המשאב שנסרק או משמש כיעד, נפתרים. עם זאת, עדיין אפשר ליצור ממצאים מנכסים שנמצאים בתיקייה, כולל פרויקטים. סימן האבטחה הזה זמין רק אם מפעילים את רמת הפרימיום של Security Command Center ברמת הארגון.

  • גלאים שתומכים בכמה נכסים: אם גלאי תומך ביותר מסוג נכס אחד, צריך להחיל את הסימן הייעודי על כל נכס. לדוגמה, גלאי KMS_PUBLIC_KEY תומך בנכסי CryptoKey ו-KeyRing Cloud Key Management Service. אם תחיל את התג allow_kms_public_key:true על הנכס CryptoKey, הממצאים KMS_PUBLIC_KEY לגבי הנכס הזה ייפתרו. עם זאת, עדיין אפשר ליצור ממצאים עבור נכס KeyRing.

סימני האבטחה מתעדכנים רק במהלך סריקות אצווה, ולא במהלך סריקות בזמן אמת. אם מסירים סימן אבטחה ייעודי, ובנכס יש פגיעות, יכול להיות שיחלפו עד 24 שעות לפני שהסימן יימחק והממצא ייכתב.

גלאי למקרים מיוחדים: מפתחות הצפנה באספקת הלקוח (CSEK)

המזהה DISK_CSEK_DISABLED לא מופעל כברירת מחדל. כדי להשתמש בכלי הזה לזיהוי, צריך לסמן את הנכסים שרוצים להשתמש בהם במפתחות הצפנה בניהול עצמי.

כדי להפעיל את הגלאי DISK_CSEK_DISABLED עבור נכסים ספציפיים, מחילים את סימן האבטחה enforce_customer_supplied_disk_encryption_keys על הנכס עם הערך true.

צפייה במספר הממצאים הפעילים לפי סוג הממצא

אתם יכולים להשתמש במסוף Google Cloud או ב-Google Cloud CLI כדי לראות את מספר הממצאים הפעילים לפי סוג הממצא.

המסוף

Google Cloud במסוף אפשר לראות את מספר הממצאים הפעילים לכל סוג ממצא.

כדי לראות את הממצאים של Security Health Analytics לפי סוג הממצא:

  1. כדי להציג את הממצאים של Security Health Analytics, עוברים לדף Vulnerabilities (נקודות חולשה) בגרסה הקודמת.

    כניסה לדף Vulnerabilities

  2. כדי למיין את הממצאים לפי מספר הממצאים הפעילים לכל סוג ממצא, לוחצים על כותרת העמודה פעיל.

gcloud

כדי להשתמש ב-CLI של gcloud כדי לקבל ספירה של כל הממצאים הפעילים, צריך לשלוח שאילתה ל-Security Command Center כדי לקבל את מזהה המקור של Security Health Analytics. אחר כך משתמשים במזהה המקור כדי לשלוח שאילתה לגבי מספר הממצאים הפעילים.

שלב 1: קבלת מזהה המקור

כדי לקבל את מזהה המקור, מריצים אחת מהפקודות הבאות:

  • אם הפעלתם את Security Command Center ברמת הארגון, מריצים את הפקודה הבאה:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
    --source-display-name="Security Health Analytics"

  • אם הפעלתם את Security Command Center ברמת הפרויקט, מריצים את הפקודה הבאה:

    gcloud scc sources describe projects/PROJECT_ID \
    --source-display-name="Security Health Analytics"

אם עדיין לא הפעלתם את Security Command Center API, תתבקשו להפעיל אותו. כשממשק Security Command Center API מופעל, מריצים שוב את הפקודה הקודמת. הפלט של הפקודה אמור להיראות כך:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

חשוב לשים לב לSOURCE_ID כדי להשתמש בו בשלב הבא.

שלב 2: קבלת מספר הממצאים הפעילים

משתמשים בערך SOURCE_ID שרשמתם בשלב הקודם כדי לסנן את הממצאים מ-Security Health Analytics. הפקודות הבאות ב-CLI של gcloud מחזירות את מספר הממצאים לפי קטגוריה.

  • אם הפעלתם את Security Command Center ברמת הארגון, מריצים את הפקודה הבאה:

    gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
    --group-by=category --page-size=PAGE_SIZE

  • אם הפעלתם את Security Command Center ברמת הפרויקט, מריצים את הפקודה הבאה:

    gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
    --group-by=category --page-size=PAGE_SIZE

אפשר להגדיר את גודל הדף לכל ערך עד 1,000. הפלט של הפקודה אמור להיראות כך, עם תוצאות מהארגון שלכם:

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

ניהול ממצאים באופן פרוגרמטי

באמצעות Google Cloud CLI וספריות הלקוח של Security Command Center, אפשר לבצע אוטומטית כמעט כל פעולה שאפשר לבצע ב-Security Command Center בGoogle Cloud מסוף. אפשר גם לתקן הרבה ממצאי אבטחה באמצעות ה-CLI של gcloud. מידע נוסף זמין במסמכי התיעוד של סוגי המשאבים שמתוארים בכל ממצא:

כדי לייצא או לרשום נכסים באופן פרוגרמטי, משתמשים ב-Cloud Asset Inventory API. מידע נוסף זמין במאמר בנושא ייצוא היסטוריית הנכסים והמטא-נתונים שלהם.

הוצאנו משימוש את המתודות והשדות של נכסים ב-Security Command Center API, והם יוסרו ב-26 ביוני 2024 או אחרי התאריך הזה.

עד שהם יוסרו, משתמשים שהפעילו את Security Command Center לפני 26 ביוני 2023 יכולים להשתמש במתודות של הנכסים ב-Security Command Center API כדי ליצור רשימה של נכסים, אבל המתודות האלה תומכות רק בנכסים שנתמכים ב-Security Command Center.

מידע על שימוש בשיטות API של נכסים שהוצאו משימוש זמין במאמר בנושא נכסי כרטיסי מוצר.

סריקת פרויקטים שמוגנים על ידי גבולות גזרה לשירות

אם יש לכם גבולות גזרה לשירות שחוסמים גישה לפרויקטים ולשירותים מסוימים, אתם צריכים לתת לחשבון השירות של Security Command Center גישה נכנסת לגבולות גזרה לשירות האלה. אחרת, לא ניתן יהיה להפיק ב-Security Health Analytics ממצאים שקשורים לפרויקטים ולשירותים המוגנים.

המסוף

  1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

    מעבר אל VPC Service Controls

  2. בוחרים את הארגון.

  3. ברשימה הנפתחת, בוחרים את מדיניות הגישה שמכילה את גבולות הגזרה לשירות שרוצים להעניק לו גישה.

    גבולות הגזרה לשירות שמשויכים למדיניות הגישה מופיעים ברשימה.

  4. לוחצים על השם של גבולות הגזרה לשירות שרוצים לעדכן.

    כדי למצוא את גבולות הגזרה לשירות שצריך לשנות, אפשר לבדוק ביומנים ערכים שמציינים RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרות. ברשומות האלה, בודקים את השדה servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. לוחצים על עריכה.
  6. לוחצים על Ingress policy (מדיניות כניסה).
  7. לוחצים על הוספת כלל תעבורה נכנסת.

  8. בקטע מאת, מגדירים את הפרטים הבאים:

    1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
    2. לוחצים על הוספת זהויות.

    3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

  9. בקטע To (אל), מגדירים את הפרטים הבאים:

    1. בקטע Resources > Projects, בוחרים באפשרות All projects.
    2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות All operations (כל הפעולות) או בוחרים שירותים ספציפיים שבהם מופיעות הפרות של VPC Service Controls.
  10. לוחצים על Save.

gcloud

  1. אם עדיין לא הגדרתם פרויקט מכסת מכסות, תצטרכו להגדיר אותו. בוחרים פרויקט שבו מופעל Access Context Manager API. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    מחליפים את QUOTA_PROJECT_ID במזהה הפרויקט שבו רוצים להשתמש לחיוב ולמכסה.

  2. יוצרים קובץ בשם ingress-rule.yaml עם התוכן הבא:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: '*'
    resources:
    - '*'

    לחלופין, אפשר להשתמש ב-operations כדי לציין את השירותים שבהם מופיעות הפרות של VPC Service Controls, וב-resources כדי לציין את הפרויקט שהופיע בממצא.

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  3. מוסיפים את כלל הכניסה להיקף:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    מחליפים את מה שכתוב בשדות הבאים:

    • PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

      כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים אם יש רשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

מידע נוסף זמין במאמר בנושא כללי כניסה ויציאה.

המאמרים הבאים