Esta página foi traduzida pela API Cloud Translation.

Visão geral da política de autorização

Uma política de autorização (AuthzPolicy) define regras que especificam a origem do tráfego de entrada e as operações permitidas ou restritas para essa origem. Além disso, a política de autorização descreve as condições em que uma regra é aplicada e especifica uma ação para permitir, negar ou avaliar o tráfego.

As políticas de autorização permitem estabelecer verificações de controle de acesso para o tráfego de entrada para balanceadores de carga de aplicativo. As solicitações que passam por essas verificações são roteadas para serviços de back-end. As solicitações que falharem nessas verificações são encerradas com uma resposta não autorizada.

Esta página apresenta uma visão geral das políticas de autorização para os seguintes balanceadores de carga de aplicativo:

Balanceadores de carga de aplicativos externos globais

Balanceadores de carga de aplicativo externos regionais
Balanceadores de carga de aplicativo internos regionais

Balanceadores de carga de aplicativo internos entre regiões

Se você quiser usar políticas de autorização para serviços implantados com o Cloud Service Mesh, consulte Configurar a segurança do serviço com o Envoy.

Componentes da regra de política de autorização

Uma política de autorização é composta por diferentes regras de política de autorização. Uma regra de política de autorização define as condições que determinam se o tráfego pode passar pelo balanceador de carga ou não.

Uma regra de política de autorização tem os seguintes componentes:

from: especifica a identidade do cliente permitida pela regra. A identidade pode ser derivada de um certificado de cliente em uma conexão TLS mútua ou pode ser a identidade do ambiente associada à VM do cliente, como de uma conta de serviço ou uma tag segura.
to: especifica as operações permitidas pela regra, como os URLs que podem ser acessados ou os métodos HTTP permitidos.
when: especifica as condições que precisam ser atendidas para que a ação precisa ser aplicada à solicitação. Use expressões da Common Expression Language (CEL) para definir as condições.

Ações da política de autorização

Ao avaliar uma solicitação, uma política de autorização especifica a ação a ser aplicada a ela. Uma ação de política de autorização consiste nos seguintes valores:

ALLOW: concede acesso ao recurso solicitado se a solicitação corresponder às regras definidas na política de autorização. A política de autorização bloqueia o acesso ao recurso solicitado se a solicitação não corresponder a nenhuma regra definida na política de autorização. Uma solicitação é negada se não corresponder a uma política ALLOW, mesmo que outras políticas a permitam.
DENY: bloqueia o acesso ao recurso se uma solicitação corresponder a qualquer uma das regras especificadas em uma política DENY. A política de autorização concede acesso ao recurso solicitado se a solicitação não corresponder a nenhuma regra definida na política de autorização. Uma solicitação é negada se corresponder a uma política DENY, mesmo que outras políticas a permitam.
CUSTOM: permite a integração com sistemas de autorização externos para decisões de autorização complexas. As ações CUSTOM são usadas para políticas que usam extensões de serviço ou IAP para decisões de autorização.

Observação: só é possível definir uma política de autorização com a ação CUSTOM para uma determinada regra de encaminhamento ou gateway.

Ordem de avaliação da política de autorização

Quando várias políticas de autorização são associadas a um único recurso, elas são avaliadas na ordem a seguir para determinar se uma solicitação é permitida ou negada.

Políticas com ações CUSTOM: se a política CUSTOM negar a solicitação, ela será rejeitada imediatamente. As políticas DENY ou ALLOW não são avaliadas, mesmo que estejam configuradas.
Políticas com ações DENY: se alguma política DENY corresponder à solicitação, ela será negada. As políticas ALLOW não são avaliadas, mesmo que estejam configuradas.
Políticas com ações ALLOW: se não houver políticas ALLOW ou se qualquer política ALLOW corresponder à solicitação, ela será permitida. No entanto, se nenhuma política ALLOW corresponder à solicitação, ela será negada.

Delegar decisões de autorização

Para decisões de autorização complexas que não podem ser expressas usando a política de autorização, delegue a decisão de autorização a provedores de autorização personalizados, como o Identity-Aware Proxy (IAP), ou crie sua própria extensão de autorização usando extensões de serviço. Isso é útil quando você quer usar o mecanismo de autorização local ou provedores de identidade de terceiros pelo IAP.

IAP: configure o IAP para controlar o acesso a aplicativos por trás das regras de encaminhamento do balanceador de carga de aplicativo. O IAP verifica a identidade e o contexto do usuário para determinar o acesso. Ele também pode autenticar tokens de conta de serviço do Identity and Access Management (IAM) e avaliar políticas do IAM, protegendo o acesso a buckets de back-end expostos pelo Application Load Balancer. Para mais informações, consulte Delegar autorização para o IAP e o IAM.

Você pode delegar a autenticação para o IAP e o IAM nos seguintes cenários:
- Use o IAM para gerenciamento de permissões.
- Implementar o acesso baseado no contexto.
- Use a autenticação baseada no navegador para aplicativos da Web que exigem autenticação interativa.
Extensões de serviço: delegue decisões de autorização para o mecanismo de autorização personalizado em execução em instâncias de VM do Google Cloud ou localmente. Isso oferece flexibilidade para políticas de autorização complexas que não são cobertas por políticas integradas. Para mais informações, consulte Configurar uma extensão de autorização.

Preços

As políticas de autorização não são cobradas durante o período de pré-lançamento. No entanto, o uso de balanceadores de carga do Google Cloud pode gerar cobranças de rede. Para informações sobre preços, consulte Preços.

A seguir

Configurar políticas de autorização para balanceadores de carga de aplicativo