Diese Seite wurde von der Cloud Translation API übersetzt.

Identitätsgruppen und Identitäten von Drittanbietern in Regeln für ein- und ausgehenden Traffic konfigurieren

Auf dieser Seite wird beschrieben, wie Sie Identitätsgruppen in Regeln für ein- und ausgehenden Traffic verwenden, um den Zugriff auf durch Dienstperimeter geschützte Ressourcen zuzulassen.

VPC Service Controls ermöglicht mithilfe von Regeln für ein- und ausgehenden Traffic den Zugriff auf die Ressourcen und Clients, die durch Dienstperimeter geschützt sind. Um den Zugriff weiter einzuschränken, können Sie in Ihren Regeln für eingehenden und ausgehenden Traffic Identitätsgruppen angeben.

Eine Identitätsgruppe ist eine praktische Möglichkeit, Zugriffssteuerungen auf eine Gruppe von Nutzern anzuwenden. Außerdem können Sie damit Identitäten mit ähnlichen Zugriffsrichtlinien verwalten.

Wenn Sie Identitätsgruppen in den Ein- oder Ausstiegsregeln konfigurieren möchten, können Sie die folgenden unterstützten Identitätsgruppen im Attribut identities verwenden:

Google-Gruppe
Identitäten von Drittanbietern (Vorabversion), z. B. Mitarbeiteridentitäten und Workload Identitys.

VPC Service Controls unterstützt die Identitätsföderation von Arbeitslasten für GKE nicht.

Informationen zum Anwenden von Richtlinien für ein- und ausgehenden Traffic finden Sie unter Richtlinien für ein- und ausgehenden Traffic konfigurieren.

Hinweise

Lesen Sie die Regeln für ein- und ausgehenden Traffic.

Identitätsgruppen in Ingress-Regeln konfigurieren

Console

Wenn Sie über die Google Cloud -Konsole eine Ingress-Richtlinie für einen Dienstperimeter aktualisieren oder beim Erstellen des Perimeters eine Ingress-Richtlinie festlegen, können Sie die Ingress-Regel so konfigurieren, dass Identitätsgruppen verwendet werden.

Wenn Sie in der Google Cloud -Konsole einen Perimeter erstellen oder bearbeiten, wählen Sie Ingress-Richtlinie aus.
Wählen Sie im Bereich FROM-Attribute des API-Clients Ihrer Ingress-Richtlinie in der Liste Identität die Option Identitäten und Gruppen auswählen aus.
Klicken Sie auf Auswählen.
Geben Sie im Dialogfeld Identitäten hinzufügen eine Google-Gruppe oder eine Identität eines Drittanbieters (Vorabversion) an, der Zugriff auf Ressourcen im Perimeter gewährt werden soll. Verwenden Sie zum Angeben einer Identitätsgruppe das Format, das unter IAM-v1 API-Hauptkonto-IDs angegeben ist.

VPC Service Controls unterstützt nur v1-Identitäten, die mit den Präfixen group, principal (Vorabversion) und principalSet (Vorabversion) in den IAM-v1 API-Hauptkonto-IDs beginnen. Verwenden Sie beispielsweise das Format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID, um alle Workforce-Identitäten in einer Gruppe anzugeben, oder das Format group:GROUP_NAME@googlegroups.com, um eine Google-Gruppe anzugeben.
Klicken Sie auf Speichern.

Informationen zu den anderen Attributen für Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.

gcloud

Sie können eine Ingress-Regel so konfigurieren, dass Identitätsgruppen verwendet werden. Dazu können Sie eine JSON-Datei oder eine YAML-Datei verwenden. Im folgenden Beispiel wird das YAML-Format verwendet:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

Ersetzen Sie Folgendes:

PRINCIPAL_IDENTIFIER: Geben Sie eine Google-Gruppe oder eine Identität eines Drittanbieters (Vorabversion) an, der Zugriff auf Ressourcen im Perimeter erhalten soll. Verwenden Sie zum Angeben einer Identitätsgruppe das in IAM-v1 API-Hauptkonto-IDs angegebene Format.

VPC Service Controls unterstützt nur v1-Identitäten, die mit den Präfixen group, principal (Vorabversion) und principalSet (Vorabversion) in den IAM-v1 API-Hauptkonto-IDs beginnen. Verwenden Sie beispielsweise das Format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID, um alle Workforce-Identitäten in einer Gruppe anzugeben, oder das Format group:GROUP_NAME@googlegroups.com, um eine Google-Gruppe anzugeben.

Informationen zu den anderen Attributen für Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.

Nachdem Sie eine vorhandene Ingress-Regel aktualisiert haben, um Identitätsgruppen zu konfigurieren, müssen Sie die Regelrichtlinien des Dienstperimeters aktualisieren:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

Ersetzen Sie Folgendes:

PERIMETER_ID: Die ID des Dienstperimeters, den Sie aktualisieren möchten.
RULE_POLICY: der Pfad der geänderten Ingress-Regelndatei.

Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.

Identitätsgruppen in Regeln für ausgehenden Traffic konfigurieren

Console

Wenn Sie über die Google Cloud -Konsole eine Ausgangsrichtlinie für einen Dienstperimeter aktualisieren oder beim Erstellen des Perimeters eine Ausgangsrichtlinie festlegen, können Sie die Ausgangsregel so konfigurieren, dass Identitätsgruppen verwendet werden.

Wenn Sie in der Google Cloud -Konsole einen Perimeter erstellen oder bearbeiten, wählen Sie Egress-Richtlinie aus.
Wählen Sie in der Richtlinie für die ausgehende Datenübertragung im Bereich FROM-Attribute des API-Clients in der Liste Identität die Option Identitäten und Gruppen auswählen aus.
Klicken Sie auf Auswählen.
Geben Sie im Dialogfeld Identitäten hinzufügen eine Google-Gruppe oder eine Identität eines Drittanbieters (Vorabversion) an, die auf die angegebenen Ressourcen außerhalb des Perimeters zugreifen kann. Verwenden Sie zum Angeben einer Identitätsgruppe das in IAMv1 API-Hauptkonto-IDs angegebene Format.

VPC Service Controls unterstützt nur v1-Identitäten, die mit den Präfixen group, principal (Vorabversion) und principalSet (Vorabversion) in den IAM-v1 API-Hauptkonto-IDs beginnen. Verwenden Sie beispielsweise das Format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID, um alle Workforce-Identitäten in einer Gruppe anzugeben, oder das Format group:GROUP_NAME@googlegroups.com, um eine Google-Gruppe anzugeben.
Klicken Sie auf Speichern.

Informationen zu den anderen Attributen für Regeln für ausgehenden Traffic finden Sie in der Referenz zu Regeln für ausgehenden Traffic.

gcloud

Sie können eine Ausgangsregel so konfigurieren, dass Identitätsgruppen verwendet werden. Verwenden Sie dazu eine JSON-Datei oder eine YAML-Datei. Im folgenden Beispiel wird das YAML-Format verwendet:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

Ersetzen Sie Folgendes:

PRINCIPAL_IDENTIFIER: Geben Sie eine Google-Gruppe oder eine Identität eines Drittanbieters (Vorabversion) an, die auf die angegebenen Ressourcen außerhalb des Perimeters zugreifen kann. Verwenden Sie zum Angeben einer Identitätsgruppe das in IAM-v1 API-Hauptkonto-IDs angegebene Format.

VPC Service Controls unterstützt nur v1-Identitäten, die mit den Präfixen group, principal (Vorabversion) und principalSet (Vorabversion) in den IAM-v1 API-Hauptkonto-IDs beginnen. Verwenden Sie beispielsweise das Format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID, um alle Workforce-Identitäten in einer Gruppe anzugeben, oder das Format group:GROUP_NAME@googlegroups.com, um eine Google-Gruppe anzugeben.

Informationen zu den anderen Attributen für Regeln für ausgehenden Traffic finden Sie in der Referenz zu Regeln für ausgehenden Traffic.

Nachdem Sie eine vorhandene Ausgehende-Regel aktualisiert haben, um Identitätsgruppen zu konfigurieren, müssen Sie die Regelrichtlinien des Dienstperimeters aktualisieren:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

Ersetzen Sie Folgendes:

PERIMETER_ID: Die ID des Dienstperimeters, den Sie aktualisieren möchten.
RULE_POLICY: der Pfad zur geänderten Datei mit den Ausstiegsregeln.

Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.

Beschränkungen

Bevor Sie Identitätsgruppen verwenden, sollten Sie sich mit den nicht unterstützten Funktionen in Ingress- und Egress-Regeln vertraut machen.
Wenn Sie Identitätsgruppen in einer Ausstiegsregel verwenden, können Sie das Feld resources im Attribut egressTo nicht auf "*" festlegen.
Informationen zu Limits für Regeln für eingehenden und ausgehenden Traffic finden Sie unter Kontingente und Limits.

Nächste Schritte

Beispiel für die Verwendung von Identitätsgruppen und Drittanbieteridentitäten in Regeln für eingehenden und ausgehenden Traffic