Bei Application Load Balancern werden Autorisierungsrichtlinien nach der Auswertung von Routenerweiterungen, Netzwerksicherheitsrichtlinien (von Google Cloud Armor ausgewertet), CORS-Richtlinien (Cross-Origin Resource Sharing) und Identity-Aware Proxy (IAP) aufgerufen, aber vor der Ausführung von Traffic-Management-Aktionen.
Auf dieser Seite erfahren Sie, wie Sie Autorisierungsrichtlinien für Application Load Balancer einrichten.
Hinweise
- Machen Sie sich mit der Übersicht über die Autorisierungsrichtlinien vertraut.
-
- Network Security API
- Network Services API
Load-Balancer einrichten
Wenn Sie noch keinen Load Balancer erstellt haben, finden Sie auf den folgenden Seiten Informationen zum Einrichten des gewünschten Application Load Balancers:
Informationen zum Erstellen eines globalen externen Application Load Balancers finden Sie unter Globalen externen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.
Informationen zum Erstellen eines regionalen externen Application Load Balancers finden Sie unter Regionalen externen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.
Informationen zum Erstellen eines regionalen internen Application Load Balancers finden Sie unter Regionalen internen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.
Informationen zum Erstellen eines regionenübergreifenden internen Application Load Balancers finden Sie unter Regionenübergreifenden internen Application Load Balancer mit Back-Ends von VM-Instanzgruppen einrichten.
Sichere Tags oder Dienstkonten erstellen und konfigurieren
Bei internen Application Load Balancern können Sie optional Autorisierungsrichtlinien basierend auf den sicheren Tags und Dienstkonten anwenden, die an die Client-VMs angehängt sind. Wenn Sie tagbasierte Autorisierungsrichtlinien anwenden möchten, verwenden Sie Resource Manager, um Tags zu erstellen.
Wenn Sie externe Application Load Balancer verwenden, müssen Sie keine sicheren Tags erstellen und konfigurieren.
Weitere Informationen finden Sie unter Tags für Firewalls verwenden und Dienstkonten.
Dienstkonten an Client-VMs anhängen
Eine detaillierte Anleitung zum Anhängen eines Dienstkontos an eine VM-Instanz finden Sie in den folgenden Dokumenten:
- Informationen zum Einrichten von Dienstkonten während der VM-Erstellung finden Sie unter VM erstellen, die ein nutzerverwaltetes Dienstkonto verwendet.
- Informationen zum Einrichten eines Dienstkontos auf einer vorhandenen VM finden Sie unter Angehängtes Dienstkonto ändern.
Sichere Tag-Schlüssel und -Werte erstellen
Bevor Sie sichere Tags mit der Instanzgruppenvorlage verknüpfen, erstellen Sie die Schlüssel und Werte für sichere Tags und weisen Sie sie dem Zweck GCE_FIREWALL zu.
Dies ist für Google Cloud-Netzwerkfunktionen erforderlich, einschließlich Secure Web Proxy und Autorisierungsrichtlinien.
Zum Erstellen sicherer Tags benötigen Sie die Rolle Tag-Administrator (roles/resourcemanager.tagAdmin).
Console
Rufen Sie in der Google Cloud Console die Seite Tags auf.
Klicken Sie auf Erstellen.
Geben Sie im Feld Beschreibung des Tag-Schlüssels eine Beschreibung ein.
Klicken Sie das Kästchen Zur Verwendung mit Netzwerk-Firewall an.
Wählen Sie in der Liste Projekt das Google Cloud-Projekt aus, in dem Sie das Tag erstellen möchten.
Wählen Sie im Feld Netzwerk die Option
LB_NETWORKaus.Klicken Sie auf Wert hinzufügen.
Geben Sie im Feld Tag-Wert den Wert
TAG_VALUEein. Der Wert muss eine Zahl sein.Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung ein.
Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag erstellen.
gcloud
Erstellen Sie den sicheren Tag-Schlüssel.
gcloud resource-manager tags keys create TAG_KEY \ --parent=organizations/ORG_ID \ --purpose=GCE_FIREWALL \ --purpose-data=network=LB_NETWORKErsetzen Sie Folgendes:
TAG_KEY: der Name des sicheren Tag-Schlüssels.ORG_ID: ID Ihrer Organisation.LB_NETWORKist der Name des VPC-Netzwerks.
Fügen Sie dem numerischen Tag-Schlüssel den sicheren Tag-Wert hinzu.
gcloud resource-manager tags values create TAG_VALUE \ --parent=ORG_ID/TAG_KEYErsetzen Sie
TAG_VALUEdurch einen numerischen Tag-Wert.
Sicheres Tag an die Instanzgruppenvorlage binden
Tag-Administratoren können sichere Tags an einzelne VM-Instanzen oder die Instanzgruppenvorlage binden und den Wert des Tags an die Backends der VMs oder der Vorlage anhängen.
Zum Binden sicherer Tags benötigen Sie die Rolle Tag-Nutzer (roles/resourcemanager.tagUser).
Legen Sie das Präfix für den vollständigen Namen Ihres Projekts und Ihrer Zone fest:
FULL_NAME_PREFIX=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/
Ersetzen Sie Folgendes:
PROJECT_ID: die Projekt-ID.ZONE: die Zone, in der sich die verwaltete Instanzgruppe befindet.
Rufen Sie die Instanzgruppenvorlage-ID ab:
TEMPLATE_ID=$(gcloud compute instance-templates describe TEMPLATE_NAME --region=LOCATION --format='value(id)')
Ersetzen Sie Folgendes:
TEMPLATE_NAME: Name der Instanzgruppenvorlage.LOCATION: Ihre Google Cloud-Region.
Verketten Sie die Werte von
FULL_NAME_PREFIXundTEMPLATE_ID:PARENT="$FULL_NAME_PREFIX$TEMPLATE_ID" echo $PARENT
Erstellen Sie die Bindungen.
gcloud resource-manager tags bindings create \ --location LOCATION \ --tag-value ORG_ID/TAG_KEY/TAG_VALUE \ --parent PARENTErsetzen Sie Folgendes:
ORG_ID: ID Ihrer Organisation.LOCATION: Ihre Google Cloud-Region.TAG_KEY: der Name des sicheren Tag-Schlüssels.TAG_VALUE: der numerische Tag-Wert.
Autorisierungsrichtlinie erstellen
Wenn Sie eine Autorisierungsrichtlinie erstellen möchten, erstellen Sie eine YAML-Datei, in der das Ziel und die Regeln definiert sind, und importieren Sie die Datei dann mit dem Befehl gcloud beta network-security
authz-policies.
Autorisierungsrichtlinie zum Ablehnen von Anfragen
Global und regionsübergreifend
Wenn Sie einen globalen externen Application Load Balancer oder einen regionenübergreifenden internen Application Load Balancer verwenden, gehen Sie so vor, um die Autorisierungsrichtlinie zu erstellen und zu importieren:
Erstellen Sie die Autorisierungsrichtliniendatei, um bestimmte Anfragen abzulehnen.
Im folgenden Beispiel wird eine
authz-policy-deny.yaml-Datei für die WeiterleitungsregelLB_FORWARDING_RULEam Standortglobalerstellt. Die Richtlinie verbietet Clients von*.hello.comden Zugriff auf den URL-Pfad/api/payments.$ cat >authz-policy-deny.yaml <<EOF name: my-authz-policy-deny target: loadBalancingScheme: LB_SCHEME resources: - "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/LB_FORWARDING_RULE" httpRules: - from: sources: - principals: - suffix: ".hello.com" to: operations: - paths: - prefix: "/api/payments" action: DENY EOFErsetzen Sie Folgendes:
LB_SCHEME: Ihr Load Balancing-Schema. Legen Sie für globale externe Application Load Balancer das Schema aufEXTERNAL_MANAGEDfest. Legen Sie für regionenübergreifende interne Application Load Balancer das Schema aufINTERNAL_MANAGEDfest.PROJECT_ID: die ID Ihres Google Cloud-Projekts.LB_FORWARDING_RULE: der Name der Weiterleitungsregel des Load Balancers.
Erstellen Sie die Autorisierungsrichtlinie und importieren Sie die YAML-Datei.
Mit dem folgenden Beispielbefehl importieren Sie die zuvor erstellte Richtliniendatei und erstellen die Autorisierungsrichtlinien:
gcloud beta network-security authz-policies import my-authz-policy-deny \ --source=authz-policy-deny.yaml \ --location=global
Regional
Wenn Sie einen regionalen externen oder einen regionalen internen Application Load Balancer verwenden, gehen Sie so vor, um die Autorisierungsrichtlinie zu erstellen und zu importieren:
Erstellen Sie die Autorisierungsrichtliniendatei, um bestimmte Anfragen zuzulassen.
Im folgenden Beispiel wird eine
authz-policy-deny.yaml-Datei für die WeiterleitungsregelLB_FORWARDING_RULEin einer Google Cloud-Region erstellt. Die Richtlinie verbietet Clients mit Identitäten, die mit*.hello.comübereinstimmen, den Zugriff auf den URL-Pfad/api/payments. Außerdem wird mit der Richtlinie der Zugriff auf die URL/api/paymentsfür alle Client-VMs mit dem Dienstkontomy-sa-123@PROJECT_ID.iam.gserviceaccount.comverweigert.$ cat >authz-policy-deny.yaml <<EOF name: my-authz-policy-deny target: loadBalancingScheme: LB_SCHEME resources: - "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/LB_FORWARDING_RULE" httpRules: - from: sources: - principals: - suffix: ".hello.com" to: operations: - paths: - prefix: "/api/payments" - from: sources: - resources: - iamServiceAccount: exact: "my-sa-123@PROJECT_ID.iam.gserviceaccount.com" to: operations: - paths: - prefix: "/api/payments" action: DENY EOFErsetzen Sie Folgendes:
LB_SCHEME: Ihr Load Balancing-Schema. Legen Sie für regionale externe Application Load Balancer das Schema aufEXTERNAL_MANAGEDfest. Legen Sie für regionale interne Application Load Balancer das Schema aufINTERNAL_MANAGEDfest.PROJECT_ID: die ID Ihres Google Cloud-Projekts.LOCATION: Ihre Google Cloud-Region.LB_FORWARDING_RULE: der Name der Weiterleitungsregel des Load Balancers.
Erstellen Sie die Autorisierungsrichtlinie und importieren Sie die YAML-Datei.
Mit dem folgenden Beispielbefehl importieren Sie die zuvor erstellte Richtliniendatei und erstellen die Autorisierungsrichtlinien in der Region
LOCATION:gcloud beta network-security authz-policies import my-authz-policy-deny \ --source=authz-policy-deny.yaml \ --location=LOCATION
Autorisierungsrichtlinie zum Zulassen von Anfragen
Global und regionsübergreifend
Wenn Sie einen globalen externen Application Load Balancer oder einen regionenübergreifenden internen Application Load Balancer verwenden, gehen Sie so vor, um die Autorisierungsrichtlinie zu erstellen und zu importieren:
Erstellen Sie die Autorisierungsrichtliniendatei, um bestimmte Anfragen zuzulassen.
Im folgenden Beispiel wird eine
authz-policy-allow.yaml-Datei für die WeiterleitungsregelLB_FORWARDING_RULEam Standortglobalerstellt. Die Richtlinie erlaubt nur Clients von*.example.com, auf den URL-Pfad/api/paymentszuzugreifen.$ cat >authz-policy-allow.yaml <<EOF name: my-authz-policy-allow target: loadBalancingScheme: LB_SCHEME resources: - "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/LB_FORWARDING_RULE" httpRules: - from: sources: - principals: - suffix: ".example.com" to: operations: - paths: - exact: "/api/payments" action: ALLOW EOFErsetzen Sie Folgendes:
LB_SCHEME: Ihr Load Balancing-Schema. Legen Sie für globale externe Application Load Balancer das Schema aufEXTERNAL_MANAGEDfest. Legen Sie für regionenübergreifende interne Application Load Balancer das Schema aufINTERNAL_MANAGEDfest.PROJECT_ID: die ID Ihres Google Cloud-Projekts.LB_FORWARDING_RULE: der Name der Weiterleitungsregel des Load Balancers.
Erstellen Sie die Autorisierungsrichtlinie und importieren Sie die YAML-Datei.
Mit dem folgenden Beispielbefehl importieren Sie die zuvor erstellte Richtliniendatei und erstellen die Autorisierungsrichtlinien:
gcloud beta network-security authz-policies import my-authz-policy-allow \ --source=authz-policy-allow.yaml \ --location=global
Regional
Wenn Sie einen regionalen externen oder einen regionalen internen Application Load Balancer verwenden, gehen Sie so vor, um die Autorisierungsrichtlinie zu erstellen und zu importieren:
Erstellen Sie die Autorisierungsrichtliniendatei, um bestimmte Anfragen zuzulassen.
Im folgenden Beispiel wird eine
authz-policy-allow.yaml-Datei für die WeiterleitungsregelLB_FORWARDING_RULEin einer Google Cloud-Region eines regionalen internen Application Load Balancers erstellt. Die Richtlinie erlaubt nur Clients von*.example.com, auf den URL-Pfad/api/paymentszuzugreifen, wenn die Anfrage von einer VM mit dem Ressourcen-TagTAG_VALUEstammt.$ cat >authz-policy-allow.yaml <<EOF name: my-authz-policy-allow target: loadBalancingScheme: LB_SCHEME resources: - "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/LB_FORWARDING_RULE" httpRules: - from: sources: - principals: - suffix: ".example.com" resources: - tagValueIdSet: - ids: "TAG_VALUE" to: operations: - paths: - exact: "/api/payments" action: ALLOW EOFErsetzen Sie Folgendes:
LB_SCHEME: Ihr Load Balancing-Schema. Wenn Sie regionale externe Application Load Balancer verwenden, legen Sie das Schema aufEXTERNAL_MANAGEDfest. Wenn Sie regionale interne Application Load Balancer verwenden, legen Sie das Schema aufINTERNAL_MANAGEDfest.PROJECT_ID: die ID Ihres Google Cloud-Projekts.LOCATION: Ihre Google Cloud-Region.LB_FORWARDING_RULE: der Name der Weiterleitungsregel des Load Balancers.
Erstellen Sie die Autorisierungsrichtlinie und importieren Sie die YAML-Datei.
Mit dem folgenden Beispielbefehl importieren Sie die zuvor erstellte Richtliniendatei und erstellen die Autorisierungsrichtlinien in der Region
LOCATION:gcloud beta network-security authz-policies import my-authz-policy-allow \ --source=authz-policy-allow.yaml \ --location=LOCATION
Autorisierungsrichtlinie zum Delegieren an eine Diensterweiterung
Bevor Sie beginnen, richten Sie eine externe Autorisierungs-Engine ein. Weitere Informationen zu Diensterweiterungen finden Sie unter Übersicht über Cloud Load Balancing-Hinweise.
Global und regionsübergreifend
Wenn Sie einen globalen externen Application Load Balancer oder einen regionenübergreifenden internen Application Load Balancer verwenden, gehen Sie so vor, um die Autorisierungsrichtlinie zu erstellen und zu importieren:
Erstellen Sie die Autorisierungsrichtliniendatei, um bestimmte Anfragen an einen externen Dienst zu delegieren.
Im folgenden Beispiel wird eine
authz-policy-custom.yaml-Datei für die WeiterleitungsregelLB_FORWARDING_RULEam Standortglobalerstellt. Die Richtlinie ruft dieAUTHZ_EXTENSION-Erweiterung für den gesamten Traffic zum/api/payments-URL-Pfad auf, wenn die Anfrage einen nicht leerenAuthorization-Header enthält.$ cat >authz-policy-custom.yaml <<EOF name: my-authz-policy-custom target: loadBalancingScheme: LB_SCHEME resources: - "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/LB_FORWARDING_RULE" httpRules: - to: operations: - paths: - exact: "/api/payments" when: 'request.headers["Authorization"] != ""' action: CUSTOM customProvider: authzExtension: resources: - "https://networkservices.googleapis.com/v1/projects/PROJECT_ID/locations/global/authzExtensions/AUTHZ_EXTENSION" EOFErsetzen Sie Folgendes:
LB_SCHEME: Ihr Load Balancing-Schema. Legen Sie für globale externe Application Load Balancer das Schema aufEXTERNAL_MANAGEDfest. Legen Sie für regionenübergreifende interne Application Load Balancer das Schema aufINTERNAL_MANAGEDfest.PROJECT_ID: die ID Ihres Google Cloud-Projekts.LB_FORWARDING_RULE: der Name der Weiterleitungsregel des Load Balancers.AUTHZ_EXTENSION: der Name der Autorisierungserweiterung.
Erstellen Sie die Autorisierungsrichtlinie und importieren Sie die YAML-Datei.
Mit dem folgenden Beispielbefehl importieren Sie die zuvor erstellte Richtliniendatei und erstellen die Autorisierungsrichtlinien:
gcloud beta network-security authz-policies import my-authz-policy-custom \ --source=authz-policy-custom.yaml \ --location=global
Regional
Wenn Sie einen regionalen externen oder einen regionalen internen Application Load Balancer verwenden, gehen Sie so vor, um die Autorisierungsrichtlinie zu erstellen und zu importieren:
Erstellen Sie die Autorisierungsrichtliniendatei, um bestimmte Anfragen an einen externen Dienst zu delegieren.
Im folgenden Beispiel wird eine
authz-policy-custom.yaml-Datei für die WeiterleitungsregelLB_FORWARDING_RULEin einer Google Cloud-Region eines regionalen internen Application Load Balancers erstellt. Die Richtlinie ruft dieAUTHZ_EXTENSION-Erweiterung für den gesamten Traffic zum/api/payments-URL-Pfad auf, wenn die Anfrage einen nicht leerenAuthorization-Header enthält.$ cat >authz-policy-custom.yaml <<EOF name: my-authz-policy-custom target: loadBalancingScheme: LB_SCHEME resources: - "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/LB_FORWARDING_RULE" httpRules: - to: operations: - paths: - exact: "/api/payments" when: 'request.headers["Authorization"] != ""' action: CUSTOM customProvider: authzExtension: resources: - "https://networkservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/authzExtensions/AUTHZ_EXTENSION" EOFErsetzen Sie Folgendes:
LB_SCHEME: Ihr Load Balancing-Schema. Legen Sie für regionale externe Application Load Balancer das Schema aufEXTERNAL_MANAGEDfest. Legen Sie für regionale interne Application Load Balancer das Schema aufINTERNAL_MANAGEDfest.PROJECT_ID: die ID Ihres Google Cloud-Projekts.LOCATION: Ihre Google Cloud-Region.LB_FORWARDING_RULE: der Name der Weiterleitungsregel des Load Balancers.AUTHZ_EXTENSION: der Name der Autorisierungserweiterung.
Erstellen Sie die Autorisierungsrichtlinie und importieren Sie die YAML-Datei.
Mit dem folgenden Beispielbefehl importieren Sie die zuvor erstellte Richtliniendatei und erstellen die Autorisierungsrichtlinien in der Region
LOCATION:gcloud beta network-security authz-policies import my-authz-policy-custom \ --source=authz-policy-custom.yaml \ --location=LOCATION
Autorisierungsrichtlinien testen
Senden Sie zum Testen der Autorisierungsrichtlinien etwas Traffic an den Load Balancer. Weitere Informationen finden Sie auf den folgenden Seiten:
Wenn Sie einen globalen externen Application Load Balancer verwenden, lesen Sie den Hilfeartikel Traffic an Ihre Instanzen senden.
Wenn Sie einen regionalen externen Application Load Balancer verwenden, lesen Sie den Hilfeartikel Load Balancer testen.
Wenn Sie einen regionalen internen Application Load Balancer verwenden, lesen Sie den Hilfeartikel Load Balancer testen.
Wenn Sie einen regionenübergreifenden internen Application Load Balancer verwenden, lesen Sie den Hilfeartikel Load Balancer testen.
Informationen zu Autorisierungsrichtlinien-Logs in Cloud Logging
Weitere Informationen dazu, wie die Autorisierungsrichtlinien protokolliert werden, wenn eine Anfrage zugelassen oder abgelehnt wird, finden Sie unter den folgenden Links:
Wenn eine Anfrage weder der
ALLOW- noch derDENY-Richtlinie entspricht, wird sie gemäß derDENY-Richtlinie zugelassen und alsallowed_as_no_allow_policies_matched_requestprotokolliert. DieALLOW-Richtlinie lehnt die Anfrage jedoch ab und protokolliert sie alsdenied_as_no_allow_policies_matched_request. Da eine der Richtlinien die Anfrage ablehnt, wird sie abgelehnt.Wenn Sie einen globalen externen Application Load Balancer verwenden, ist
statusDetailsim Log aufdenied_by_authz_policyfestgelegt. Sehen Sie sich folgendes Beispiel an:{ httpRequest: {8} insertId: "example-id" jsonPayload: { @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry" authzPolicyInfo: { policies: [ 0: { details: "allowed_as_no_deny_policies_matched_request" result: "ALLOWED" } 1: { details: "denied_as_no_allow_policies_matched_request" result: "DENIED" } ] result: "DENIED" } backendTargetProjectNumber: "projects/12345567" remoteIp: "00.100.11.104" proxyStatus: "error=\"http_request_error\"; details=\"denied_by_authz_policy\"" } logName: "projects/example-project/logs/requests" receiveTimestamp: "2024-08-28T15:33:56.046651035Z" resource: {2} severity: "WARNING" spanId: "3e1a09a8e5e3e14d" timestamp: "2024-08-28T15:33:55.355042Z" trace: "projects/example-project/traces/8c8b3dbf9a19c85954d0fa2d958ca509" }Wenn Sie einen regionalen internen Application Load Balancer, einen regionalen externen Application Load Balancer oder einen regionenübergreifenden internen Application Load Balancer verwenden, ist
proxyStatusim Log auferror=\"http_request_error\"; details=\"denied_by_authz_policy\"festgelegt. Sehen Sie sich folgendes Beispiel an:{ httpRequest: {8} insertId: "example-id" jsonPayload: { @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry" authzPolicyInfo: { policies: [ 0: { details: "allowed_as_no_deny_policies_matched_request" result: "ALLOWED" } 1: { details: "denied_as_no_allow_policies_matched_request" result: "DENIED" } ] result: "DENIED" } backendTargetProjectNumber: "projects/12345567" remoteIp: "00.100.11.104" proxyStatus: "error=\"http_request_error\"; details=\"denied_by_authz_policy\"" } logName: "projects/example-project/logs/requests" receiveTimestamp: "2024-08-28T15:33:56.046651035Z" resource: {2} severity: "WARNING" spanId: "3e1a09a8e5e3e14d" timestamp: "2024-08-28T15:33:55.355042Z" trace: "projects/example-project/traces/8c8b3dbf9a19c85954d0fa2d958ca509" }Wenn eine Anfrage mit der
DENY-Richtlinie übereinstimmt, wird sie abgelehnt und die Richtlinie, die die Anfrage abgelehnt hat, wird protokolliert.Wenn Sie einen globalen externen Application Load Balancer verwenden, ist
statusDetailsim Log aufdenied_by_authz_policyfestgelegt und der Name der Richtlinie, die die Anfrage abgelehnt hat, wird inpoliciesprotokolliert. Sehen Sie sich folgendes Beispiel an:{ httpRequest: {8} insertId: "example-id" jsonPayload: { @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry" authzPolicyInfo: { policies: [ 0: { details: "name: "projects/12345567/locations/global/authzPolicies/deny-authz-policy-test"" result: "DENIED" } ] result: "DENIED" } backendTargetProjectNumber: "projects/12345567" cacheDecision: [2] remoteIp: "00.100.11.104" statusDetails: "denied_by_authz_policy" } logName: "projects/example-project/logs/requests" receiveTimestamp: "2024-08-28T15:33:56.046651035Z" resource: {2} severity: "WARNING" spanId: "3e1a09a8e5e3e14d" timestamp: "2024-08-28T15:33:55.355042Z" trace: "projects/example-project/traces/8c8b3dbf9a19c85954d0fa2d958ca509" }Wenn Sie einen regionalen internen Application Load Balancer, einen regionalen externen Application Load Balancer oder einen regionenübergreifenden internen Application Load Balancer verwenden, ist
proxyStatusauferror=\"http_request_error\"; details=\"denied_by_authz_policy\"festgelegt und der Name der Richtlinie wird inpoliciesprotokolliert. Sehen Sie sich folgendes Beispiel an:{ httpRequest: {8} insertId: "example-id" jsonPayload: { @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry" authzPolicyInfo: { policies: [ 0: { details: "name: "projects/12345567/locations/$REGION/authzPolicies/deny-authz-policy-test"" result: "DENIED" } ] result: "DENIED" } backendTargetProjectNumber: "projects/12345567" remoteIp: "00.100.11.104" proxyStatus: "error=\"http_request_error\"; details=\"denied_by_authz_policy\"" } logName: "projects/example-project/logs/requests" receiveTimestamp: "2024-08-28T15:33:56.046651035Z" resource: {2} severity: "WARNING" spanId: "3e1a09a8e5e3e14d" timestamp: "2024-08-28T15:33:55.355042Z" trace: "projects/example-project/traces/8c8b3dbf9a19c85954d0fa2d958ca509" }Wenn eine Anfrage nicht der
DENY-Richtlinie, aber derALLOW-Richtlinie entspricht, ist sie zulässig. Im Protokoll wird diese Aktion alsallowed_as_no_deny_policies_matched_requestfür die RichtlinieDENYprotokolliert. Auch die Richtlinie, die die Anfrage zugelassen hat, wird protokolliert.Wenn Sie einen globalen externen Application Load Balancer verwenden, ist im Log kein
statusDetailsenthalten. Die Richtlinie, die die Anfrage zugelassen hat, wird ebenfalls inpoliciesprotokolliert. Sehen Sie sich folgendes Beispiel an:{ httpRequest: {8} insertId: "example-id" jsonPayload: { @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry" authzPolicyInfo: { policies: [ 0: { details: "allowed_as_no_deny_policies_matched_request" result: "ALLOWED" } 1: { details: "name: "projects/12345567/locations/global/authzPolicies/allow-authz-policy-test"" result: "ALLOWED" } ] result: "ALLOWED" } backendTargetProjectNumber: "projects/12345567" cacheDecision: [2] remoteIp: "00.100.11.104" } logName: "projects/example-project/logs/requests" receiveTimestamp: "2024-08-28T15:33:56.046651035Z" resource: {2} severity: "WARNING" spanId: "3e1a09a8e5e3e14d" timestamp: "2024-08-28T15:33:55.355042Z" trace: "projects/example-project/traces/8c8b3dbf9a19c85954d0fa2d958ca509" }Wenn Sie einen regionalen internen Application Load Balancer, einen regionalen externen Application Load Balancer oder einen regionenübergreifenden internen Application Load Balancer verwenden, ist im Protokoll kein Feld
proxyStatusvorhanden. Die Richtlinie, die die Anfrage zugelassen hat, wird ebenfalls inpoliciesprotokolliert. Sehen Sie sich folgendes Beispiel an:{ httpRequest: {8} insertId: "example-id" jsonPayload: { @type: "type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry" authzPolicyInfo: { policies: [ 0: { details: "allowed_as_no_deny_policies_matched_request" result: "ALLOWED" } 1: { details: "name: "projects/12345567/locations/$REGION/authzPolicies/allow-authz-policy-test"" result: "ALLOWED" } ] result: "ALLOWED" } backendTargetProjectNumber: "projects/12345567" cacheDecision: [2] remoteIp: "00.100.11.104" } logName: "projects/example-project/logs/requests" receiveTimestamp: "2024-08-28T15:33:56.046651035Z" resource: {2} severity: "WARNING" spanId: "3e1a09a8e5e3e14d" timestamp: "2024-08-28T15:33:55.355042Z" trace: "projects/example-project/traces/8c8b3dbf9a19c85954d0fa2d958ca509" }