Cette page a été traduite par l'API Cloud Translation.

Configurer des groupes d'identités et des identités tierces dans les règles d'entrée et de sortie

Cette page explique comment utiliser des groupes d'identité dans les règles d'entrée et de sortie pour autoriser l'accès aux ressources protégées par des périmètres de service.

VPC Service Controls utilise des règles d'entrée et de sortie pour autoriser l'accès vers et depuis des ressources et clients protégés par des périmètres de service. Pour affiner davantage l'accès, vous pouvez spécifier des groupes d'identité dans vos règles d'entrée et de sortie.

Un groupe d'identités est un moyen pratique d'appliquer des contrôles d'accès à un ensemble d'utilisateurs et de gérer les identités associées à des stratégies d'accès similaires.

Pour configurer des groupes d'identité dans les règles d'entrée ou de sortie, vous pouvez utiliser les groupes d'identité compatibles suivants dans l'attribut identities:

Groupe Google
Identités tierces telles que les utilisateurs de pools de personnel et les identités de charge de travail.

VPC Service Controls n'est pas compatible avec la fédération d'identité de charge de travail pour GKE.

Pour savoir comment appliquer des règles d'entrée et de sortie, consultez la section Configurer des règles d'entrée et de sortie.

Avant de commencer

Veillez à lire les Règles d'entrée et de sortie.

Configurer des groupes d'identités dans les règles d'entrée

Console

Lorsque vous modifiez une stratégie d'entrée d'un périmètre de service ou que vous définissez une stratégie d'entrée lors de la création d'un périmètre à l'aide de la console Google Cloud, vous pouvez configurer la règle d'entrée pour qu'elle utilise des groupes d'identité.

Lorsque vous créez ou modifiez un périmètre dans la console Google Cloud, sélectionnez Règle d'entrée.
Dans la section De de votre règle d'entrée, sélectionnez Sélectionner des identités et des groupes dans la liste Identités.
Cliquez sur Ajouter des identités.
Dans le volet Ajouter des identités, spécifiez un groupe Google ou une identité tierce à laquelle vous souhaitez accorder l'accès aux ressources du périmètre. Pour spécifier un groupe d'identités, utilisez le format spécifié dans les identifiants des comptes principaux de l'API IAM v1.

VPC Service Controls n'est compatible qu'avec les identités v1 commençant par les préfixes group, principal et principalSet dans les identifiants de compte principal de l'API IAM v1. Par exemple, utilisez le format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID pour spécifier toutes les identités de personnel d'un groupe ou le format group:GROUP_NAME@googlegroups.com pour spécifier un groupe Google.
Cliquez sur Ajouter des identités.
Cliquez sur Enregistrer.

Pour en savoir plus sur les autres attributs de règle d'entrée, consultez la documentation de référence sur les règles d'entrée.

gcloud

Vous pouvez configurer une règle d'entrée pour qu'elle utilise des groupes d'identité à l'aide d'un fichier JSON ou d'un fichier YAML. L'exemple suivant utilise le format YAML:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

Remplacez les éléments suivants :

PRINCIPAL_IDENTIFIER: spécifiez un groupe Google ou une identité tierce à laquelle vous souhaitez accorder l'accès aux ressources du périmètre. Pour spécifier un groupe d'identités, utilisez le format spécifié dans les identifiants des comptes principaux de l'API IAM v1.

VPC Service Controls n'est compatible qu'avec les identités v1 commençant par les préfixes group, principal et principalSet dans les identifiants de compte principal de l'API IAM v1. Par exemple, utilisez le format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID pour spécifier toutes les identités de personnel d'un groupe ou le format group:GROUP_NAME@googlegroups.com pour spécifier un groupe Google.

Pour en savoir plus sur les autres attributs de règle d'entrée, consultez la documentation de référence sur les règles d'entrée.

Après avoir mis à jour une règle d'entrée existante pour configurer des groupes d'identité, vous devez mettre à jour les règles de la règle du périmètre de service:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

Remplacez les éléments suivants :

PERIMETER_ID: ID du périmètre de service que vous souhaitez mettre à jour.
RULE_POLICY: chemin d'accès du fichier de règle d'entrée modifié.

Pour en savoir plus, consultez la section Mettre à jour les règles d'entrée et de sortie pour un périmètre de service.

Configurer des groupes d'identités dans les règles de sortie

Console

Lorsque vous modifiez une règle de sortie d'un périmètre de service ou que vous définissez une règle de sortie lors de la création d'un périmètre à l'aide de la console Google Cloud, vous pouvez configurer la règle de sortie pour qu'elle utilise des groupes d'identités.

Lorsque vous créez ou modifiez un périmètre dans la console Google Cloud, sélectionnez Règle de sortie.
Dans la section De de votre règle de sortie, sélectionnez Sélectionner des identités et des groupes dans la liste Identités.
Cliquez sur Ajouter des identités.
Dans le volet Ajouter des identités, spécifiez un groupe Google ou une identité tierce pouvant accéder aux ressources spécifiées en dehors du périmètre. Pour spécifier un groupe d'identités, utilisez le format spécifié dans les identifiants des comptes principaux de l'API IAM v1.

VPC Service Controls n'est compatible qu'avec les identités v1 commençant par les préfixes group, principal et principalSet dans les identifiants de compte principal de l'API IAM v1. Par exemple, utilisez le format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID pour spécifier toutes les identités de personnel d'un groupe ou le format group:GROUP_NAME@googlegroups.com pour spécifier un groupe Google.
Cliquez sur Ajouter des identités.
Cliquez sur Enregistrer.

Pour en savoir plus sur les autres attributs de règle de sortie, consultez la documentation de référence sur les règles de sortie.

gcloud

Vous pouvez configurer une règle de sortie pour utiliser des groupes d'identité à l'aide d'un fichier JSON ou d'un fichier YAML. L'exemple suivant utilise le format YAML:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

Remplacez les éléments suivants :

PRINCIPAL_IDENTIFIER: spécifiez un groupe Google ou une identité tierce pouvant accéder aux ressources spécifiées en dehors du périmètre. Pour spécifier un groupe d'identités, utilisez le format spécifié dans les identifiants des comptes principaux de l'API IAM v1.

VPC Service Controls n'est compatible qu'avec les identités v1 commençant par les préfixes group, principal et principalSet dans les identifiants de compte principal de l'API IAM v1. Par exemple, utilisez le format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID pour spécifier toutes les identités de personnel d'un groupe ou le format group:GROUP_NAME@googlegroups.com pour spécifier un groupe Google.

Pour en savoir plus sur les autres attributs de règle de sortie, consultez la documentation de référence sur les règles de sortie.

Après avoir mis à jour une règle de sortie existante pour configurer des groupes d'identité, vous devez mettre à jour les règles de règle du périmètre de service:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

Remplacez les éléments suivants :

PERIMETER_ID: ID du périmètre de service que vous souhaitez mettre à jour.
RULE_POLICY: chemin d'accès au fichier de règle de sortie modifié.

Pour en savoir plus, consultez la section Mettre à jour les règles d'entrée et de sortie pour un périmètre de service.

Limites

Avant d'utiliser des groupes d'identités, vous devez comprendre les fonctionnalités non prises en charge dans les règles d'entrée et de sortie.
Lorsque vous utilisez des groupes d'identité dans une règle de sortie, vous ne pouvez pas définir le champ resources de l'attribut egressTo sur "*".
Pour en savoir plus sur les limites des règles d'entrée et de sortie, consultez la section Quotas et limites.

Étape suivante

Exemple d'utilisation de groupes d'identités et d'identités tierces dans les règles d'entrée et de sortie