Auf dieser Seite wird beschrieben, wie Sie Identitätsgruppen in Regeln für ein- und ausgehenden Traffic verwenden, um den Zugriff auf durch Dienstperimeter geschützte Ressourcen zuzulassen.
VPC Service Controls ermöglicht mithilfe von Regeln für ein- und ausgehenden Traffic den Zugriff auf die Ressourcen und Clients, die durch Dienstperimeter geschützt sind. Um den Zugriff weiter einzuschränken, können Sie in Ihren Regeln für eingehenden und ausgehenden Traffic Identitätsgruppen angeben.
Eine Identitätsgruppe ist eine praktische Möglichkeit, Zugriffssteuerungen auf eine Gruppe von Nutzern anzuwenden. Außerdem können Sie damit Identitäten mit ähnlichen Zugriffsrichtlinien verwalten.
Wenn Sie Identitätsgruppen in den Ein- oder Ausstiegsregeln konfigurieren möchten, können Sie die folgenden unterstützten Identitätsgruppen im Attribut identities
verwenden:
- Google-Gruppe
Identitäten von Drittanbietern wie Nutzer von Workforce Identity-Pools und Workload-Identitäten
VPC Service Controls unterstützt die Identitätsföderation von Arbeitslasten für GKE nicht.
Informationen zum Anwenden von Richtlinien für ein- und ausgehenden Traffic finden Sie unter Richtlinien für ein- und ausgehenden Traffic konfigurieren.
Hinweise
- Lesen Sie sich die Regeln für ein- und ausgehenden Traffic durch.
Identitätsgruppen in Ingress-Regeln konfigurieren
Wenn Sie über die Google Cloud Console eine Ingress-Richtlinie eines Dienstperimeters aktualisieren oder eine Ingress-Richtlinie beim Erstellen des Perimeters festlegen, können Sie die Ingress-Regel so konfigurieren, dass Identitätsgruppen verwendet werden.
Wenn Sie in der Google Cloud Console einen Perimeter erstellen oder bearbeiten, wählen Sie Ingress-Richtlinie aus.
Wählen Sie in der Ingress-Richtlinie im Abschnitt Von in der Liste Identitäten die Option Identitäten und Gruppen auswählen aus.
Klicken Sie auf Identitäten hinzufügen.
Geben Sie im Bereich Identitäten hinzufügen eine Google-Gruppe oder eine Identität eines Drittanbieters an, der Zugriff auf Ressourcen im Perimeter erhalten soll. Verwenden Sie zum Angeben einer Identitätsgruppe das in IAM
v1
API-Hauptkonto-IDs angegebene Format.VPC Service Controls unterstützt nur
v1
-Identitäten, die mit den Präfixengroup
,principal
undprincipalSet
in den IAM-v1
API-Hauptkonto-IDs beginnen. Verwenden Sie beispielsweise das FormatprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/
, um alle Workforce-Identitäten in einer Gruppe anzugeben, oder das FormatGROUP_ID group:GROUP_NAME@googlegroups.com
, um eine Google-Gruppe anzugeben.Klicken Sie auf Identitäten hinzufügen.
Klicken Sie auf Speichern.
Informationen zu den anderen Attributen für Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.
Sie können eine Ingress-Regel so konfigurieren, dass Identitätsgruppen verwendet werden. Dazu können Sie eine JSON-Datei oder eine YAML-Datei verwenden. Im folgenden Beispiel wird das YAML-Format verwendet:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Ersetzen Sie Folgendes:
PRINCIPAL_IDENTIFIER
: Geben Sie eine Google-Gruppe oder eine Identität eines Drittanbieters an, der Zugriff auf Ressourcen im Perimeter erhalten soll. Verwenden Sie zum Angeben einer Identitätsgruppe das in IAM-v1
API-Hauptkonto-IDs angegebene Format.VPC Service Controls unterstützt nur
v1
-Identitäten, die mit den Präfixengroup
,principal
undprincipalSet
in den IAM-v1
API-Hauptkonto-IDs beginnen. Verwenden Sie beispielsweise das FormatprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/
, um alle Workforce-Identitäten in einer Gruppe anzugeben, oder das FormatGROUP_ID group:GROUP_NAME@googlegroups.com
, um eine Google-Gruppe anzugeben.
Informationen zu den anderen Attributen für Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.
Nachdem Sie eine vorhandene Ingress-Regel aktualisiert haben, um Identitätsgruppen zu konfigurieren, müssen Sie die Regelrichtlinien des Dienstperimeters aktualisieren:
gcloud access-context-manager perimeters updatePERIMETER_ID --set-ingress-policies=RULE_POLICY .yaml
Ersetzen Sie Folgendes:
PERIMETER_ID
: Die ID des Dienstperimeters, den Sie aktualisieren möchten.RULE_POLICY
: der Pfad der geänderten Ingress-Regelndatei.
Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.
Identitätsgruppen in Regeln für ausgehenden Traffic konfigurieren
Wenn Sie über die Google Cloud Console eine Richtlinie für ausgehenden Traffic eines Dienstperimeters aktualisieren oder beim Erstellen des Perimeters eine Richtlinie für ausgehenden Traffic festlegen, können Sie die Richtlinie für ausgehenden Traffic so konfigurieren, dass Identitätsgruppen verwendet werden.
Wenn Sie einen Perimeter in der Google Cloud Console erstellen oder bearbeiten, wählen Sie Ausgangsrichtlinie aus.
Wählen Sie in der Richtlinie für den Traffic-Ausgang im Abschnitt Von in der Liste Identitäten die Option Identitäten und Gruppen auswählen aus.
Klicken Sie auf Identitäten hinzufügen.
Geben Sie im Bereich Identitäten hinzufügen eine Google-Gruppe oder eine Identität eines Drittanbieters an, die auf die angegebenen Ressourcen außerhalb des Perimeters zugreifen kann. Verwenden Sie zum Angeben einer Identitätsgruppe das in IAM
v1
API-Hauptkonto-IDs angegebene Format.VPC Service Controls unterstützt nur
v1
-Identitäten, die mit den Präfixengroup
,principal
undprincipalSet
in den IAM-v1
API-Hauptkonto-IDs beginnen. Verwenden Sie beispielsweise das FormatprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/
, um alle Workforce-Identitäten in einer Gruppe anzugeben, oder das FormatGROUP_ID group:GROUP_NAME@googlegroups.com
, um eine Google-Gruppe anzugeben.Klicken Sie auf Identitäten hinzufügen.
Klicken Sie auf Speichern.
Informationen zu den anderen Attributen für Regeln für ausgehenden Traffic finden Sie in der Referenz zu Regeln für ausgehenden Traffic.
Sie können eine Ausgangsregel so konfigurieren, dass Identitätsgruppen verwendet werden. Dazu können Sie eine JSON-Datei oder eine YAML-Datei verwenden. Im folgenden Beispiel wird das YAML-Format verwendet:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Ersetzen Sie Folgendes:
PRINCIPAL_IDENTIFIER
: Geben Sie eine Google-Gruppe oder eine Identität eines Drittanbieters an, die auf die angegebenen Ressourcen außerhalb des Perimeters zugreifen kann. Verwenden Sie zum Angeben einer Identitätsgruppe das in IAMv1
API-Hauptkonto-IDs angegebene Format.VPC Service Controls unterstützt nur
v1
-Identitäten, die mit den Präfixengroup
,principal
undprincipalSet
in den IAM-v1
API-Hauptkonto-IDs beginnen. Verwenden Sie beispielsweise das FormatprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/
, um alle Workforce-Identitäten in einer Gruppe anzugeben, oder das FormatGROUP_ID group:GROUP_NAME@googlegroups.com
, um eine Google-Gruppe anzugeben.
Informationen zu den anderen Attributen für Regeln für ausgehenden Traffic finden Sie in der Referenz zu Regeln für ausgehenden Traffic.
Nachdem Sie eine vorhandene Ausgehende-Regel aktualisiert haben, um Identitätsgruppen zu konfigurieren, müssen Sie die Regelrichtlinien des Dienstperimeters aktualisieren:
gcloud access-context-manager perimeters updatePERIMETER_ID --set-egress-policies=RULE_POLICY .yaml
Ersetzen Sie Folgendes:
PERIMETER_ID
: Die ID des Dienstperimeters, den Sie aktualisieren möchten.RULE_POLICY
: der Pfad zur geänderten Datei mit den Ausstiegsregeln.
Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.
Beschränkungen
- Bevor Sie Identitätsgruppen verwenden, sollten Sie sich mit den nicht unterstützten Funktionen in Ingress- und Egress-Regeln vertraut machen.
- Wenn Sie Identitätsgruppen in einer Ausstiegsregel verwenden, können Sie das Feld
resources
im AttributegressTo
nicht auf"*"
festlegen. - Informationen zu Limits für Regeln für eingehenden und ausgehenden Traffic finden Sie unter Kontingente und Limits.