Esta página foi traduzida pela API Cloud Translation.

Configurar grupos de identidade e identidades de terceiros em regras de entrada e saída

Esta página descreve como usar grupos de identidade em regras de entrada e saída para permitir o acesso a recursos protegidos por perímetros de serviço.

O VPC Service Controls usa regras de entrada e saída para permitir o acesso de e para os recursos e clientes protegidos por perímetros de serviço. Para refinar ainda mais o acesso, especifique grupos de identidade nas regras de entrada e saída.

Um grupo de identidade é uma maneira conveniente de aplicar controles de acesso a uma coleção de usuários e permite gerenciar identidades com políticas de acesso semelhantes.

Para configurar grupos de identidade nas regras de entrada ou saída, use os seguintes grupos de identidade com suporte no atributo identities:

Grupo do Google
Identidades de terceiros (Preview), como identidades da força de trabalho e identidades de carga de trabalho.

O VPC Service Controls não é compatível com a Federação de Identidade da Carga de Trabalho para GKE.

Para saber como aplicar políticas de regra de entrada e saída, consulte Como configurar políticas de entrada e saída.

Antes de começar

Leia as regras de entrada e saída.

Configurar grupos de identidade nas regras de entrada

Console

Ao atualizar uma política de entrada de um perímetro de serviço ou definir uma política de entrada durante a criação do perímetro usando o console do Google Cloud , é possível configurar a regra de entrada para usar grupos de identidade.

Ao criar ou editar um perímetro no console do Google Cloud , selecione Política de entrada.
No painel De atributos do cliente da API da sua política de entrada, selecione Selecionar identidades e grupos na lista Identidade.
Clique em Selecionar.
Na caixa de diálogo Adicionar identidades, especifique um grupo do Google ou uma identidade de terceiros (Pré-lançamento) a que você quer conceder acesso aos recursos no perímetro. Para especificar um grupo de identidade, use o formato especificado em Identificadores principais da API v1 do IAM.

O VPC Service Controls oferece suporte apenas às identidades v1 que começam com os prefixos group, principal (pré-lançamento) e principalSet (pré-lançamento) nos identificadores principais da API IAM v1. Por exemplo, use o formato principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID para especificar todas as identidades de colaboradores em um grupo ou use o formato group:GROUP_NAME@googlegroups.com para especificar um grupo do Google.
Clique em Salvar.

Para informações sobre os outros atributos de regra de entrada, consulte Referência de regras de entrada.

gcloud

É possível configurar uma regra de entrada para usar grupos de identidade usando um arquivo JSON ou um arquivo YAML. O exemplo a seguir usa o formato YAML:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

Substitua:

PRINCIPAL_IDENTIFIER: especifique um grupo do Google ou uma identidade de terceiros (pré-lançamento) para quem você quer conceder acesso aos recursos no perímetro. Para especificar um grupo de identidade, use o formato especificado em Identificadores v1 da API IAM.

O VPC Service Controls oferece suporte apenas às identidades v1 que começam com os prefixos group, principal (pré-lançamento) e principalSet (pré-lançamento) nos identificadores principais da API IAM v1. Por exemplo, use o formato principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID para especificar todas as identidades de colaboradores em um grupo ou use o formato group:GROUP_NAME@googlegroups.com para especificar um grupo do Google.

Para informações sobre os outros atributos de regra de entrada, consulte Referência de regras de entrada.

Depois de atualizar uma regra de entrada para configurar grupos de identidade, é necessário atualizar as políticas de regra do perímetro de serviço:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

Substitua:

PERIMETER_ID: o ID do perímetro de serviço que você quer atualizar.
RULE_POLICY: o caminho do arquivo de regra de entrada modificado.

Para mais informações, consulte Como atualizar políticas de entrada e saída de um perímetro de serviço.

Configurar grupos de identidade em regras de saída

Console

Ao atualizar uma política de saída de um perímetro de serviço ou definir uma política de saída durante a criação do perímetro usando o console do Google Cloud , é possível configurar a regra de saída para usar grupos de identidade.

Ao criar ou editar um perímetro no console do Google Cloud , selecione Política de saída.
No painel De atributos do cliente da API da sua política de saída, selecione Selecionar identidades e grupos na lista Identidade.
Clique em Selecionar.
Na caixa de diálogo Adicionar identidades, especifique um grupo do Google ou uma identidade de terceiros (pré-lançamento) que possa acessar os recursos especificados fora do perímetro. Para especificar um grupo de identidade, use o formato especificado em Identificadores principais da API v1 do IAM.

O VPC Service Controls oferece suporte apenas às identidades v1 que começam com os prefixos group, principal (pré-lançamento) e principalSet (pré-lançamento) nos identificadores principais da API IAM v1. Por exemplo, use o formato principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID para especificar todas as identidades de colaboradores em um grupo ou use o formato group:GROUP_NAME@googlegroups.com para especificar um grupo do Google.
Clique em Salvar.

Para informações sobre os outros atributos de regra de saída, consulte Referência de regras de saída.

gcloud

É possível configurar uma regra de saída para usar grupos de identidade usando um arquivo JSON ou um arquivo YAML. O exemplo a seguir usa o formato YAML:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

Substitua:

PRINCIPAL_IDENTIFIER: especifique um grupo do Google ou uma identidade de terceiros (pré-lançamento) que pode acessar os recursos especificados fora do perímetro. Para especificar um grupo de identidade, use o formato especificado em Identificadores principais da API v1 do IAM.

O VPC Service Controls oferece suporte apenas às identidades v1 que começam com os prefixos group, principal (pré-lançamento) e principalSet (pré-lançamento) nos identificadores principais da API IAM v1. Por exemplo, use o formato principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID para especificar todas as identidades de colaboradores em um grupo ou use o formato group:GROUP_NAME@googlegroups.com para especificar um grupo do Google.

Para informações sobre os outros atributos de regra de saída, consulte Referência de regras de saída.

Depois de atualizar uma regra de saída para configurar grupos de identidade, é necessário atualizar as políticas de regra do perímetro de serviço:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

Substitua:

PERIMETER_ID: o ID do perímetro de serviço que você quer atualizar.
RULE_POLICY: o caminho do arquivo de regra de saída modificado.

Para mais informações, consulte Como atualizar políticas de entrada e saída de um perímetro de serviço.

Limitações

Antes de usar grupos de identidade, entenda os recursos sem suporte nas regras de entrada e saída.
Ao usar grupos de identidade em uma regra de saída, não é possível definir o campo resources no atributo egressTo como "*".
Para informações sobre limites de regras de entrada e saída, consulte Cotas e limites.

A seguir

Exemplo de uso de grupos de identidade e identidades de terceiros em regras de entrada e saída