Ein Dienstkonto ist eine spezielle Art von Konto, das normalerweise von einer Anwendung oder einer Compute-Arbeitslast verwendet wird, z. B. einer Compute Engine-Instanz und keine Person. Dieses Konto wird durch seine eindeutige E-Mail-Adresse identifiziert.
Anwendungen verwenden Dienstkonten für autorisierte API-Aufrufe, die als Dienstkonto selbst oder als Google Workspace- oder Cloud Identity-Nutzer mithilfe domainweiter Delegation authentifiziert werden. Wenn sich eine Anwendung als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat.
Sie können ein Dienstkonto verwenden, um die Trafficquelle zu identifizieren und gegebenenfalls Secure Web Proxy-Richtlinien zu konfigurieren.
Diese Seite enthält Anleitungen für Folgendes:
- Erstellen Sie eine Instanz des sicheren Web-Proxys mit einer leeren Richtlinie.
- Dienstkonten erstellen und an Ressourcen anhängen
- Verwenden Sie Dienstkonten, um eine Richtlinie für sichere Webproxys zu erstellen.
- Erstellen Sie eine Secure Web Proxy-Instanz.
- Testen Sie die Verbindung von Ihren VMs.
Hinweis
Führen Sie die Schritte zur Ersteinrichtung aus.
Bitten Sie einen Administrator Ihrer Organisation, Zugriff auf ein Dienstkonto zu gewähren.
Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:
gcloud version | head -n1
Wenn Sie eine ältere Version der gcloud CLI installiert haben, aktualisieren Sie sie:
gcloud components update --version=406.0.0
Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen
Wenn Sie eine Instanz eines sicheren Web-Proxys erstellen möchten, erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.
Leere Sicherheitsrichtlinie erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Sicherer Web-Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B.
myswppolicy
.Geben Sie eine Beschreibung der Richtlinie ein, z. B.
My new swp policy
.Wählen Sie in der Liste Regionen die Region aus, in der Sie die Richtlinie erstellen möchten.
Klicken Sie auf Erstellen.
Cloud Shell
Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei
POLICY_FILE
.yaml. Ersetzen SiePOLICY_FILE
durch den gewünschten Dateinamen für die Richtliniendatei.Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Ersetzen Sie Folgendes:
PROJECT_NAME
: Name Ihres ProjektsREGION
: die Region, auf die diese Richtlinie angewendet wirdPOLICY_NAME
: der Name der Richtlinie, die Sie erstellenPOLICY_DESCRIPTION
: die Beschreibung der Richtlinie, die Sie erstellen
Importieren Sie die Sicherheitsrichtlinie:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Web-Proxy erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Sicherer Web-Proxy.
Klicken Sie auf Webproxy einrichten.
Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B.
myswp
.Geben Sie eine Beschreibung des Web-Proxys ein, z. B.
My new swp
.Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.
Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.
Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.
Geben Sie die IP-Adresse des Web-Proxys ein.
Wählen Sie in der Liste Zertifikat das Zertifikat aus, mit dem Sie den Webproxy erstellen möchten.
Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Webproxy zu verknüpfen.
Klicken Sie auf Erstellen.
Cloud Shell
Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei
GATEWAY_FILE
.yaml. Ersetzen SieGATEWAY_FILE
durch den gewünschten Dateinamen für die Webproxydatei.Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Ersetzen Sie Folgendes:
GATEWAY_NAME
: der Name dieser InstanzGATEWAY_PORT_NUMBERS
: eine Liste von Portnummern für dieses Gateway, z. B.[80,443]
CERTIFICATE_URLS
: eine Liste von SSL-Zertifikat-URLsSUBNET_NAME
: Name des Subnetzes, dasGATEWAY_IP_ADDRESS
enthältGATEWAY_IP_ADDRESS
: Eine optionale Liste von IP-Adressen für Ihre sicheren Web-Proxy-Instanzen innerhalb der Proxy-Subnetze, die in den ersten Einrichtungsschritten erstellt wurden.Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.
So erstellen Sie eine Secure Web Proxy-Instanz:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Verbindung testen
Verwenden Sie den Befehl curl
auf einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud), um die Konnektivität zu testen:
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Es wird ein 403 Forbidden
-Fehler erwartet.
Dienstkonten erstellen und an Ressourcen anhängen
So erstellen und verknüpfen Sie Dienstkonten:
Secure Web Proxy-Regeln erstellen
So erstellen Sie Regeln für sichere Web-Proxys:
Erstellen Sie mit Ihrem bevorzugten Texteditor eine Datei vom Typ
RULE_FILE
.yaml. Ersetzen SieRULE_FILE
durch den gewünschten Dateinamen.Wenn Sie dem ausgewählten Dienstkonto Zugriff auf eine URL gewähren möchten, fügen Sie der YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW
Ersetzen Sie Folgendes:
RULE_NAME
: ein Name für diese RegelRULE_DESCRIPTION
: eine Beschreibung der Regel, die Sie erstellenRULE_PRIORITY
: die Priorität dieser Regel. Eine niedrigere Zahl entspricht einer höheren Priorität.CEL_EXPRESSION
: CEL-Ausdruck (Common Expression Language)Weitere Informationen finden Sie in der Referenz für die CEL-Abgleichssprache.
Wenn Sie beispielsweise den Zugriff auf
example.com
über die Ressource mit dem gewünschten verknüpften Dienstkonto zulassen möchten, fügen Sie der YAML-Datei, die Sie fürsessionMatcher
erstellt haben, Folgendes hinzu:sessionMatcher: "source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'example.com'"
Ersetzen Sie
SERVICE_ACCOUNT
durch das Dienstkonto, das Sie zulassen möchten. Dies muss die E-Mail-Adresse des Dienstkontos sein.
Importieren Sie die von Ihnen erstellten Regeln:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Verbindung testen
Verwenden Sie zum Testen der Verbindung den Befehl curl
aus der Ressource mit der angehängten SERVICE_ACCOUNT
:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Ersetzen Sie IPv4_ADDRESS
durch die IPv4-Adresse Ihrer Secure Web Proxy-Instanz.