Auf dieser Seite wird beschrieben, wie Sie Identitätsgruppen in Richtlinien für ein- und ausgehenden Traffic verwenden, um den Zugriff auf Ressourcen zu ermöglichen, die durch Dienstperimeter geschützt sind.
VPC Service Controls ermöglicht mithilfe von Richtlinien für ein- und ausgehenden Traffic den Zugriff auf die Ressourcen und Clients, die durch Dienstperimeter geschützt sind. Um den Zugriff weiter einzuschränken, können Sie Identitätsgruppen in Ihren Richtlinien für ein- und ausgehenden Traffic angeben.
Eine Identitätsgruppe ist eine praktische Möglichkeit, um Zugriffssteuerungen auf eine Gruppe von Nutzern anzuwenden und Identitäten mit ähnlichen Zugriffsrichtlinien zu verwalten.
Wenn Sie Identitätsgruppen in den Richtlinien für ein- und ausgehenden Traffic konfigurieren möchten, können Sie die folgenden unterstützten Identitätsgruppen im Attribut identities verwenden:
- Google-Gruppe
Drittanbieteridentitäten wie Nutzer von Personalpools und Arbeitslastidentitäten.
VPC Service Controls unterstützt Workload Identity Federation for GKE nicht.
Informationen zum Anwenden von Richtlinien für ein- und ausgehenden Traffic finden Sie unter Richtlinien für ein- und ausgehenden Traffic konfigurieren.
Hinweis
- Lesen Sie sich die Richtlinien für eingehenden und ausgehenden Traffic durch.
Identitätsgruppen in Richtlinien für eingehenden Traffic konfigurieren
Console
Wenn Sie eine Richtlinie für eingehenden Traffic eines Dienstperimeters aktualisieren oder eine Richtlinie für eingehenden Traffic beim Erstellen eines Perimeters festlegen und dabei die Google Cloud Console verwenden, können Sie die Richtlinie für eingehenden Traffic so konfigurieren, dass Identitätsgruppen verwendet werden.
Wenn Sie in der Google Cloud Console einen Perimeter erstellen oder bearbeiten, wählen Sie Richtlinie für eingehenden Traffic aus.
Wählen Sie im Abschnitt Von Ihrer Richtlinie für eingehenden Traffic in der Liste Identitäten die Option Identitäten und Gruppen auswählen aus.
Klicken Sie auf Identitäten hinzufügen.
Geben Sie im Bereich Identitäten hinzufügen eine Google-Gruppe oder eine Drittanbieteridentität an, der Sie Zugriff auf Ressourcen im Perimeter gewähren möchten. Verwenden Sie zum Angeben einer Identitätsgruppe das in Unterstützte Identitätsgruppen angegebene Format.
Klicken Sie auf Identitäten hinzufügen.
Klicken Sie auf Speichern.
Informationen zu den anderen Attributen der Richtlinie für eingehenden Traffic finden Sie unter Referenz zu Richtlinien für eingehenden Traffic.
gcloud
Sie können eine Richtlinie für eingehenden Traffic für die Verwendung von Identitätsgruppen mit einer JSON-Datei oder einer YAML-Datei konfigurieren. Im folgenden Beispiel wird das YAML-Format verwendet:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Ersetzen Sie Folgendes:
PRINCIPAL_IDENTIFIER: Geben Sie eine Google-Gruppe oder eine Drittanbieteridentität an, der Sie Zugriff auf Ressourcen im Perimeter gewähren möchten. Verwenden Sie zum Angeben einer Identitätsgruppe das in Unterstützte Identitätsgruppen angegebene Format.
Informationen zu den anderen Attributen der Richtlinie für eingehenden Traffic finden Sie unter Referenz zu Richtlinien für eingehenden Traffic.
Nachdem Sie eine vorhandene Richtlinie für eingehenden Traffic aktualisiert haben, um Identitätsgruppen zu konfigurieren, müssen Sie die Regelrichtlinien des Dienstperimeters aktualisieren:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Ersetzen Sie Folgendes:
PERIMETER_ID: die ID des Dienstperimeters, den Sie aktualisieren möchten.RULE_POLICY: der Pfad der geänderten Datei mit Richtlinien für eingehenden Traffic.
Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.
Identitätsgruppen in Richtlinien für ausgehenden Traffic konfigurieren
Console
Wenn Sie die Richtlinie für ausgehenden Traffic eines Dienstperimeters aktualisieren oder beim Erstellen eines Perimeters eine Richtlinie für ausgehenden Traffic festlegen und dabei die Google Cloud Console verwenden, können Sie die Richtlinie für ausgehenden Traffic so konfigurieren, dass Identitätsgruppen verwendet werden.
Wenn Sie einen Perimeter erstellen oder bearbeiten, wählen Sie in der Google Cloud Console Richtlinie für ausgehenden Traffic aus.
Wählen Sie im Abschnitt Von Ihrer Richtlinie für ausgehenden Traffic in der Liste Identitäten die Option Identitäten und Gruppen auswählen aus.
Klicken Sie auf Identitäten hinzufügen.
Geben Sie im Bereich Identitäten hinzufügen eine Google-Gruppe oder eine Drittanbieteridentität an, die außerhalb des Perimeters auf die angegebenen Ressourcen zugreifen kann. Verwenden Sie zum Angeben einer Identitätsgruppe das in Unterstützte Identitätsgruppen angegebene Format.
Klicken Sie auf Identitäten hinzufügen.
Klicken Sie auf Speichern.
Informationen zu den anderen Attributen von Richtlinien für ausgehenden Traffic finden Sie in der Referenz zu Richtlinien für ausgehenden Traffic.
gcloud
Sie können eine Richtlinie für ausgehenden Traffic für die Verwendung von Identitätsgruppen mit einer JSON-Datei oder einer YAML-Datei konfigurieren. Im folgenden Beispiel wird das YAML-Format verwendet:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Ersetzen Sie Folgendes:
PRINCIPAL_IDENTIFIER: Geben Sie eine Google-Gruppe oder eine Drittanbieteridentität an, die auf die angegebenen Ressourcen außerhalb des Perimeters zugreifen kann. Verwenden Sie zum Angeben einer Identitätsgruppe das in Unterstützte Identitätsgruppen angegebene Format.
Informationen zu den anderen Attributen von Richtlinien für ausgehenden Traffic finden Sie in der Referenz zu Richtlinien für ausgehenden Traffic.
Nachdem Sie eine vorhandene Richtlinie für ausgehenden Traffic aktualisiert haben, um Identitätsgruppen zu konfigurieren, müssen Sie die Regelrichtlinien des Dienstperimeters aktualisieren:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Ersetzen Sie Folgendes:
PERIMETER_ID: die ID des Dienstperimeters, den Sie aktualisieren möchten.RULE_POLICY: der Pfad der geänderten Datei mit Richtlinien für ausgehenden Traffic.
Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.
Unterstützte Identitätsgruppen
VPC Service Controls unterstützt die folgenden Identitätsgruppen aus den Hauptkonto-IDs der IAM v1 API:
| Hauptkonto-Typ | ID |
|---|---|
| Gruppe | group:GROUP_EMAIL_ADDRESS |
| Einzelne Identität in einem Mitarbeiteridentitätspool | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Alle Mitarbeiteridentitäten in einer Gruppe | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
| Alle Mitarbeiteridentitäten mit einem bestimmten Attributwert | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Alle Identitäten in einem Mitarbeiteridentitätspool | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
| Einzelne Identität in einem Workload Identity-Pool | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Workload Identity-Pool-Gruppe | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
| Alle Identitäten in einem Workload Identity-Pool mit einem bestimmten Attribut | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Alle Identitäten in einem Workload Identity-Pool | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
Weitere Informationen zu diesen Identitäten finden Sie unter Hauptkonto-IDs für Zulassungsrichtlinien.
Beschränkungen
- Bevor Sie Identitätsgruppen verwenden, sollten Sie sich mit den nicht unterstützten Funktionen in Richtlinien für ein- und ausgehenden Traffic vertraut machen.
- Wenn Sie Identitätsgruppen in einer Richtlinie für ausgehenden Traffic verwenden, können Sie das Feld
resourcesim AttributegressTonicht auf"*"festlegen. - Informationen zu den Limits für Richtlinien für eingehenden und ausgehenden Traffic finden Sie unter Kontingente und Limits.