Richtlinien mit Dienstkonten erstellen

Ein Dienstkonto ist eine spezielle Art von Konto, das normalerweise von einer Anwendung oder einer Compute-Arbeitslast verwendet wird, z. B. einer Compute Engine-Instanz und keine Person. Dieses Konto wird durch seine eindeutige E-Mail-Adresse identifiziert.

Anwendungen verwenden Dienstkonten für autorisierte API-Aufrufe, die als Dienstkonto selbst oder als Google Workspace- oder Cloud Identity-Nutzer mithilfe domainweiter Delegation authentifiziert werden. Wenn sich eine Anwendung als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat.

Sie können ein Dienstkonto verwenden, um die Trafficquelle zu identifizieren und gegebenenfalls Secure Web Proxy-Richtlinien zu konfigurieren.

Diese Seite enthält Anleitungen für Folgendes:

  • Erstellen Sie eine Instanz des sicheren Web-Proxys mit einer leeren Richtlinie.
  • Dienstkonten erstellen und an Ressourcen anhängen
  • Verwenden Sie Dienstkonten, um eine Richtlinie für sichere Webproxys zu erstellen.
  • Erstellen Sie eine Secure Web Proxy-Instanz.
  • Testen Sie die Verbindung von Ihren VMs.

Hinweis

  • Führen Sie die Schritte zur Ersteinrichtung aus.

  • Bitten Sie einen Administrator Ihrer Organisation, Zugriff auf ein Dienstkonto zu gewähren.

  • Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1
    

    Wenn Sie eine ältere Version der gcloud CLI installiert haben, aktualisieren Sie sie:

    gcloud components update --version=406.0.0
    

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Wenn Sie eine Instanz eines sicheren Web-Proxys erstellen möchten, erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B. myswppolicy.

  6. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Richtlinie erstellen möchten.

  8. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei POLICY_FILE.yaml. Ersetzen Sie POLICY_FILE durch den gewünschten Dateinamen für die Richtliniendatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    description: POLICY_DESCRIPTION
    

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts
    • REGION: die Region, auf die diese Richtlinie angewendet wird
    • POLICY_NAME: der Name der Richtlinie, die Sie erstellen
    • POLICY_DESCRIPTION: die Beschreibung der Richtlinie, die Sie erstellen
  3. Importieren Sie die Sicherheitsrichtlinie:

    gcloud network-security gateway-security-policies import POLICY_NAME \
        --source=POLICY_FILE.yaml \
        --location=REGION
    

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf Webproxy einrichten.

  4. Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B. myswp.

  5. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.

  9. Geben Sie die IP-Adresse des Web-Proxys ein.

  10. Wählen Sie in der Liste Zertifikat das Zertifikat aus, mit dem Sie den Webproxy erstellen möchten.

  11. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Webproxy zu verknüpfen.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei GATEWAY_FILE.yaml. Ersetzen Sie GATEWAY_FILE durch den gewünschten Dateinamen für die Webproxydatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
    type: SECURE_WEB_GATEWAY
    ports: [GATEWAY_PORT_NUMBERS]
    certificateUrls: [CERTIFICATE_URLS]
    gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
    subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
    addresses: [GATEWAY_IP_ADDRESS]
    scope: samplescope
    

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: der Name dieser Instanz
    • GATEWAY_PORT_NUMBERS: eine Liste von Portnummern für dieses Gateway, z. B. [80,443]
    • CERTIFICATE_URLS: eine Liste von SSL-Zertifikat-URLs
    • SUBNET_NAME: Name des Subnetzes, das GATEWAY_IP_ADDRESS enthält

    • GATEWAY_IP_ADDRESS: Eine optionale Liste von IP-Adressen für Ihre sicheren Web-Proxy-Instanzen innerhalb der Proxy-Subnetze, die in den ersten Einrichtungsschritten erstellt wurden.

      Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.

  3. So erstellen Sie eine Secure Web Proxy-Instanz:

    gcloud network-services gateways import GATEWAY_NAME \
        --source=GATEWAY_FILE.yaml \
        --location=REGION
    

Verbindung testen

Verwenden Sie den Befehl curl auf einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud), um die Konnektivität zu testen:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Es wird ein 403 Forbidden-Fehler erwartet.

Dienstkonten erstellen und an Ressourcen anhängen

So erstellen und verknüpfen Sie Dienstkonten:

  1. Erstellen Sie die Dienstkonten.

  2. Hängen Sie Dienstkonten an Ressourcen an.

Secure Web Proxy-Regeln erstellen

So erstellen Sie Regeln für sichere Web-Proxys:

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine Datei vom Typ RULE_FILE.yaml. Ersetzen Sie RULE_FILE durch den gewünschten Dateinamen.

  2. Wenn Sie dem ausgewählten Dienstkonto Zugriff auf eine URL gewähren möchten, fügen Sie der YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
    description: RULE_DESCRIPTION
    enabled: true
    priority: RULE_PRIORITY
    sessionMatcher: CEL_EXPRESSION
    basicProfile: ALLOW
    

    Ersetzen Sie Folgendes:

    • RULE_NAME: ein Name für diese Regel
    • RULE_DESCRIPTION: eine Beschreibung der Regel, die Sie erstellen
    • RULE_PRIORITY: die Priorität dieser Regel. Eine niedrigere Zahl entspricht einer höheren Priorität.
    • CEL_EXPRESSION: CEL-Ausdruck (Common Expression Language)

      Weitere Informationen finden Sie in der Referenz für die CEL-Abgleichssprache.

      Wenn Sie beispielsweise den Zugriff auf example.com über die Ressource mit dem gewünschten verknüpften Dienstkonto zulassen möchten, fügen Sie der YAML-Datei, die Sie für sessionMatcher erstellt haben, Folgendes hinzu:

      sessionMatcher: "source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'example.com'"
      

      Ersetzen Sie SERVICE_ACCOUNT durch das Dienstkonto, das Sie zulassen möchten. Dies muss die E-Mail-Adresse des Dienstkontos sein.

  3. Importieren Sie die von Ihnen erstellten Regeln:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
       --source=RULE_FILE.yaml \
       --location=REGION \
       --gateway-security-policy=POLICY_NAME
    

Verbindung testen

Verwenden Sie zum Testen der Verbindung den Befehl curl aus der Ressource mit der angehängten SERVICE_ACCOUNT:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Ersetzen Sie IPv4_ADDRESS durch die IPv4-Adresse Ihrer Secure Web Proxy-Instanz.

Nächste Schritte