En esta página, se describe cómo usar grupos de identidad en las reglas de entrada y salida para permitir el acceso a los recursos protegidos por perímetros de servicio.
Los Controles del servicio de VPC usan reglas de entrada y salida para permitir el acceso desde y hacia los recursos y los clientes protegidos por los perímetros de servicio. Para definir mejor el acceso, puedes especificar grupos de identidad en tus reglas de entrada y salida.
Un grupo de identidades es una forma conveniente de aplicar controles de acceso a un conjunto de usuarios y te permite administrar identidades que tienen políticas de acceso similares.
Para configurar grupos de identidad en las reglas de entrada o salida, puedes usar los siguientes grupos de identidad compatibles en el atributo identities:
- Grupo de Google
Identidades de terceros (versión preliminar), como identidades de personal y identidades de cargas de trabajo
Los Controles del servicio de VPC no son compatibles con la federación de identidades para cargas de trabajo para GKE.
Para obtener información sobre cómo aplicar las políticas de reglas de entrada y salida, consulta Configura políticas de entrada y salida.
Antes de comenzar
- Asegúrate de leer las reglas de entrada y salida.
Configura grupos de identidad en las reglas de entrada
Console
Cuando actualizas una política de entrada de un perímetro de servicio o estableces una política de entrada durante la creación del perímetro con la consola de Google Cloud , puedes configurar la regla de entrada para usar grupos de identidad.
Cuando crees o edites un perímetro en la consola de Google Cloud , selecciona Política de entrada.
En el panel Desde los atributos del cliente de la API de tu política de entrada, selecciona Seleccionar identidades y grupos en la lista Identidad.
Haz clic en Seleccionar.
En el cuadro de diálogo Agregar identidades, especifica un Grupo de Google o una identidad de terceros (Versión preliminar) a la que deseas proporcionar acceso a los recursos del perímetro. Para especificar un grupo de identidad, usa el formato especificado en Identificadores principales de la API de IAM
v1.Los Controles del servicio de VPC solo admiten las identidades
v1que comienzan con los prefijosgroup,principal(Versión preliminar) yprincipalSet(Versión preliminar) en los identificadores principales de la API dev1de IAM. Por ejemplo, usa el formatoprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/para especificar todas las identidades del personal de un grupo o usa el formatoGROUP_ID group:GROUP_NAME@googlegroups.compara especificar un Grupo de Google.Haz clic en Guardar.
Para obtener información sobre los otros atributos de reglas de entrada, consulta la Referencia de reglas de entrada.
gcloud
Puedes configurar una regla de entrada para usar grupos de identidad con un archivo JSON o un archivo YAML. En el siguiente ejemplo, se usa el formato YAML:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Reemplaza lo siguiente:
PRINCIPAL_IDENTIFIER: Especifica un grupo de Google o una identidad de terceros (Versión preliminar) a la que deseas proporcionar acceso a los recursos del perímetro. Para especificar un grupo de identidad, usa el formato especificado en Identificadores principales de la API de IAMv1.Los Controles del servicio de VPC solo admiten las identidades
v1que comienzan con los prefijosgroup,principal(Versión preliminar) yprincipalSet(Versión preliminar) en los identificadores principales de la API dev1de IAM. Por ejemplo, usa el formatoprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/para especificar todas las identidades del personal de un grupo o usa el formatoGROUP_ID group:GROUP_NAME@googlegroups.compara especificar un Grupo de Google.
Para obtener información sobre los otros atributos de reglas de entrada, consulta la Referencia de reglas de entrada.
Después de actualizar una regla de entrada existente para configurar grupos de identidad, debes actualizar las políticas de reglas del perímetro de servicio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Reemplaza lo siguiente:
PERIMETER_ID: Es el ID del perímetro de servicio que deseas actualizar.RULE_POLICY: Es la ruta de acceso del archivo de reglas de entrada modificado.
Para obtener más información, consulta Actualiza las políticas de entrada y salida para un perímetro de servicio.
Configura grupos de identidad en las reglas de salida
Console
Cuando actualizas una política de salida de un perímetro de servicio o estableces una política de salida durante la creación del perímetro con la consola de Google Cloud , puedes configurar la regla de salida para usar grupos de identidad.
Cuando crees o edites un perímetro en la consola de Google Cloud , selecciona Política de salida.
En el panel Desde los atributos del cliente de la API de tu política de salida, selecciona Seleccionar identidades y grupos en la lista Identidad.
Haz clic en Seleccionar.
En el cuadro de diálogo Agregar identidades, especifica un Grupo de Google o una identidad de terceros (Versión preliminar) que pueda acceder a los recursos especificados fuera del perímetro. Para especificar un grupo de identidad, usa el formato especificado en Identificadores principales de la API de IAM
v1.Los Controles del servicio de VPC solo admiten las identidades
v1que comienzan con los prefijosgroup,principal(Versión preliminar) yprincipalSet(Versión preliminar) en los identificadores principales de la API dev1de IAM. Por ejemplo, usa el formatoprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/para especificar todas las identidades del personal de un grupo o usa el formatoGROUP_ID group:GROUP_NAME@googlegroups.compara especificar un Grupo de Google.Haz clic en Guardar.
Para obtener información sobre los otros atributos de reglas de salida, consulta Referencia de reglas de salida.
gcloud
Puedes configurar una regla de salida para usar grupos de identidad con un archivo JSON o un archivo YAML. En el siguiente ejemplo, se usa el formato YAML:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Reemplaza lo siguiente:
PRINCIPAL_IDENTIFIER: Especifica un grupo de Google o una identidad de terceros (Versión preliminar) que pueda acceder a los recursos especificados fuera del perímetro. Para especificar un grupo de identidad, usa el formato especificado en Identificadores principales de la API de IAMv1.Los Controles del servicio de VPC solo admiten las identidades
v1que comienzan con los prefijosgroup,principal(Versión preliminar) yprincipalSet(Versión preliminar) en los identificadores principales de la API dev1de IAM. Por ejemplo, usa el formatoprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/para especificar todas las identidades del personal de un grupo o usa el formatoGROUP_ID group:GROUP_NAME@googlegroups.compara especificar un Grupo de Google.
Para obtener información sobre los otros atributos de las reglas de salida, consulta Referencia de reglas de salida.
Después de actualizar una regla de salida existente para configurar grupos de identidad, debes actualizar las políticas de reglas del perímetro de servicio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Reemplaza lo siguiente:
PERIMETER_ID: Es el ID del perímetro de servicio que deseas actualizar.RULE_POLICY: Es la ruta de acceso del archivo de reglas de salida modificado.
Para obtener más información, consulta Actualiza las políticas de entrada y salida para un perímetro de servicio.
Limitaciones
- Antes de usar los grupos de identidad, comprende las funciones no admitidas en las reglas de entrada y salida.
- Cuando usas grupos de identidad en una regla de salida, no puedes establecer el campo
resourcesen el atributoegressTocomo"*". - Para obtener información sobre los límites de las reglas de entrada y salida, consulta Cuotas y límites.