Dienstkonten zum Erstellen von Richtlinien verwenden

Ein Dienstkonto ist eine spezielle Art von Konto, das in der Regel nicht von einer Person, sondern von einer Anwendung oder einer Compute-Arbeitslast verwendet wird, z. B. einer Compute Engine-Instanz. Dieses Konto wird durch seine eindeutige E-Mail-Adresse identifiziert.

Anwendungen verwenden Dienstkonten für autorisierte API-Aufrufe, die als Dienstkonto selbst oder als Google Workspace- oder Cloud Identity-Nutzer mithilfe domainweiter Delegation authentifiziert werden. Wenn sich eine Anwendung als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat.

Sie können ein Dienstkonto verwenden, um die Trafficquelle zu identifizieren und gegebenenfalls Secure Web Proxy-Richtlinien zu konfigurieren.

Diese Seite enthält Anleitungen für Folgendes:

  • Erstellen Sie eine Secure Web Proxy-Instanz mit einer leeren Richtlinie.
  • Dienstkonten erstellen und an Ressourcen anhängen
  • Verwenden Sie Dienstkonten, um eine Secure Web Proxy-Richtlinie zu erstellen.
  • Erstellen Sie eine Secure Web Proxy-Instanz.
  • Testen Sie die Verbindung von Ihren VMs.

Hinweis

  • Schließen Sie die Ersteinrichtung ab Schritte.

  • Einen Organisationsadministrator haben Zugriff auf ein Dienstkonto gewähren

  • Prüfen Sie, ob die Google Cloud CLI Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1

    Wenn Sie eine ältere Version der gcloud CLI installiert haben, aktualisieren Sie sie:

    gcloud components update --version=406.0.0

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Wenn Sie eine Instanz eines sicheren Web-Proxys erstellen möchten, erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, wie myswppolicy.

  6. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie den erstellen Sie die Richtlinie.

  8. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei POLICY_FILE.yaml. Ersetzen Sie POLICY_FILE durch den gewünschten Dateinamen für die Richtliniendatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts
    • REGION: die Region, auf die diese Richtlinie angewendet wird
    • POLICY_NAME: der Name Ihrer Richtlinie wird erstellt
    • POLICY_DESCRIPTION: die Beschreibung des die Sie erstellen,

  3. Importieren Sie die Sicherheitsrichtlinie:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf Web-Proxy einrichten.

  4. Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B. myswp.

  5. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, für das Sie Erstellen Sie den Web-Proxy.

  9. Geben Sie die IP-Adresse des Web-Proxys ein.

  10. Wählen Sie in der Liste Zertifikat das gewünschte Zertifikat aus. zum Erstellen des Web-Proxys.

  11. Wähle in der Liste Richtlinie die Richtlinie aus, die du erstellt hast. mit dem der Web-Proxy verknüpft werden soll.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen. GATEWAY_FILE.yaml. Ersetzen Sie GATEWAY_FILE durch den gewünschten Dateinamen für die Webproxydatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: der Name für diese Instanz
    • GATEWAY_PORT_NUMBERS: eine Liste von Portnummern für dieses Gateway, z. B. [80,443]
    • CERTIFICATE_URLS: eine Liste von SSL-Zertifikaten URLs

    • SUBNET_NAME: Name des Subnetzes, das GATEWAY_IP_ADDRESS enthält

    • GATEWAY_IP_ADDRESS: Eine optionale Liste von IP-Adressen für Ihre sicheren Web-Proxy-Instanzen innerhalb der Proxy-Subnetze, die in den ersten Einrichtungsschritten erstellt wurden.

      Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.

  3. Erstellen Sie eine Secure Web Proxy-Instanz:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Verbindung testen

Verwenden Sie den Befehl curl auf einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud), um die Konnektivität zu testen:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Es wird ein 403 Forbidden-Fehler erwartet.

Dienstkonten erstellen und an Ressourcen anhängen

So erstellen Sie Dienstkonten und hängen sie an:

  1. Erstellen Sie die Dienstkonten.

  2. Hängen Sie Dienstkonten an Ressourcen an.

Secure Web Proxy-Regeln erstellen

So erstellen Sie Secure Web Proxy-Regeln:

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine Datei vom Typ RULE_FILE.yaml. Ersetzen Sie RULE_FILE durch den gewünschten Dateinamen.

  2. Wenn Sie dem ausgewählten Dienstkonto Zugriff auf eine URL gewähren möchten, fügen Sie der YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Ersetzen Sie Folgendes:

    • RULE_NAME: ein Name für diese Regel
    • RULE_DESCRIPTION: eine Beschreibung für das Regel erstellen, die Sie erstellen,
    • RULE_PRIORITY: die Priorität dieser Regel. Eine niedrigere Zahl entspricht einer höheren Priorität.

    • CEL_EXPRESSION: ein CEL-Ausdruck (Common Expression Language)

      Weitere Informationen finden Sie unter CEL-Matcher. Sprachreferenz.

      Wenn Sie beispielsweise den Zugriff auf example.com von der Ressource mit dem Gewünschtes Dienstkonto angehängt, fügen Sie der YAML-Datei Folgendes hinzu: die Sie für sessionMatcher erstellt haben:

      sessionMatcher: "source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'example.com'"

      Ersetzen Sie SERVICE_ACCOUNT durch das Dienstkonto, das Sie zulassen möchten. Das muss die E-Mail-Adresse des Dienstkontos sein Adresse.

  3. Importieren Sie die von Ihnen erstellten Regeln:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Verbindung testen

Verwenden Sie zum Testen der Verbindung den Befehl curl aus der Ressource mit der angehängten SERVICE_ACCOUNT:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Ersetzen Sie IPv4_ADDRESS durch die IPv4-Adresse Ihrer Secure Web Proxy-Instanz.

Nächste Schritte