Questa pagina descrive come utilizzare i gruppi di identità nelle regole di ingresso e di uscita per consentire l'accesso alle risorse protette dai perimetri di servizio.
Controlli di servizio VPC utilizza regole di entrata e di uscita per consentire l'accesso alle risorse e ai client protetti dai perimetri di servizio e viceversa. Per perfezionare ulteriormente l'accesso, puoi specificare gruppi di identità nelle regole di ingresso e di uscita.
Un gruppo di identità è un modo pratico per applicare controlli di accesso a una raccolta di utenti e ti consente di gestire identità con criteri di accesso simili.
Per configurare i gruppi di identità nelle regole di ingresso o di uscita, puoi utilizzare i seguenti gruppi di identità supportati nell'attributo identities:
- Gruppo Google
Identità di terze parti come utenti del pool della forza lavoro e identità del carico di lavoro.
Controlli di servizio VPC non supporta Workload Identity Federation for GKE.
Per informazioni su come applicare i criteri delle regole di ingresso e di uscita, consulta la sezione Configurare i criteri per il traffico in entrata e in uscita.
Prima di iniziare
- Assicurati di leggere le regole per il traffico in entrata e in uscita.
Configurare i gruppi di identità nelle regole di ingresso
Console
Quando aggiorni un criterio di ingresso di un perimetro di servizio o ne imposti uno durante la creazione del perimetro utilizzando la console Google Cloud, puoi configurare la regola di ingresso in modo che utilizzi i gruppi di identità.
Quando crei o modifichi un perimetro nella console Google Cloud, seleziona Criterio di ingresso.
Nella sezione Da del criterio di ingresso, seleziona Seleziona identità e gruppi dall'elenco Identità.
Fai clic su Aggiungi identità.
Nel riquadro Aggiungi identità, specifica un gruppo Google o un'identità di terze parti a cui vuoi fornire l'accesso alle risorse nel perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Identificatori principali dell'API IAM
v1.Controlli di servizio VPC supporta solo le identità
v1che iniziano con i prefissigroup,principaleprincipalSetnegli identificatori dell'entità dell'API IAMv1. Ad esempio, utilizza il formatoprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/per specificare tutte le identità della forza lavoro in un gruppo o il formatoGROUP_ID group:GROUP_NAME@googlegroups.comper specificare un gruppo Google.Fai clic su Aggiungi identità.
Fai clic su Salva.
Per informazioni sugli altri attributi delle regole di importazione, consulta la sezione Riferimento alle regole di importazione.
gcloud
Puoi configurare una regola di ingresso per utilizzare i gruppi di identità utilizzando un file JSON o un file YAML. Il seguente esempio utilizza il formato YAML:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Sostituisci quanto segue:
PRINCIPAL_IDENTIFIER: specifica un gruppo Google o un'identità di terze parti a cui vuoi fornire l'accesso alle risorse nel perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Identificatori principali dell'API IAMv1.Controlli di servizio VPC supporta solo le identità
v1che iniziano con i prefissigroup,principaleprincipalSetnegli identificatori dell'entità dell'API IAMv1. Ad esempio, utilizza il formatoprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/per specificare tutte le identità della forza lavoro in un gruppo o il formatoGROUP_ID group:GROUP_NAME@googlegroups.comper specificare un gruppo Google.
Per informazioni sugli altri attributi delle regole di importazione, consulta la sezione Riferimento alle regole di importazione.
Dopo aver aggiornato una regola di ingresso esistente per configurare i gruppi di identità, devi aggiornare i criteri delle regole del perimetro del servizio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro di servizio da aggiornare.RULE_POLICY: il percorso del file della regola di ingresso modificato.
Per ulteriori informazioni, consulta Aggiornare i criteri di ingresso e di uscita per un perimetro di servizio.
Configurare i gruppi di identità nelle regole di uscita
Console
Quando aggiorni un criterio di uscita di un perimetro di servizio o imposti un criterio di uscita durante la creazione del perimetro utilizzando la console Google Cloud, puoi configurare la regola di uscita in modo che utilizzi i gruppi di identità.
Quando crei o modifichi un perimetro nella console Google Cloud, seleziona Criterio di uscita.
Nella sezione Da del criterio di uscita, seleziona Seleziona identità e gruppi dall'elenco Identità.
Fai clic su Aggiungi identità.
Nel riquadro Aggiungi identità, specifica un gruppo Google o un'identità di terze parti che possa accedere alle risorse specificate al di fuori del perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Identificatori principali dell'API IAM
v1.Controlli di servizio VPC supporta solo le identità
v1che iniziano con i prefissigroup,principaleprincipalSetnegli identificatori dell'entità dell'API IAMv1. Ad esempio, utilizza il formatoprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/per specificare tutte le identità della forza lavoro in un gruppo o il formatoGROUP_ID group:GROUP_NAME@googlegroups.comper specificare un gruppo Google.Fai clic su Aggiungi identità.
Fai clic su Salva.
Per informazioni sugli altri attributi delle regole in uscita, consulta la sezione Riferimento alle regole in uscita.
gcloud
Puoi configurare una regola di uscita per utilizzare i gruppi di identità utilizzando un file JSON o un file YAML. Il seguente esempio utilizza il formato YAML:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Sostituisci quanto segue:
PRINCIPAL_IDENTIFIER: specifica un gruppo Google o un'identità di terze parti che può accedere alle risorse specificate al di fuori del perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Identificatori principali dell'API IAMv1.Controlli di servizio VPC supporta solo le identità
v1che iniziano con i prefissigroup,principaleprincipalSetnegli identificatori dell'entità dell'API IAMv1. Ad esempio, utilizza il formatoprincipalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/per specificare tutte le identità della forza lavoro in un gruppo o il formatoGROUP_ID group:GROUP_NAME@googlegroups.comper specificare un gruppo Google.
Per informazioni sugli altri attributi delle regole in uscita, consulta la sezione Riferimento alle regole in uscita.
Dopo aver aggiornato una regola di uscita esistente per configurare i gruppi di identità, devi aggiornare i criteri delle regole del perimetro del servizio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro di servizio da aggiornare.RULE_POLICY: il percorso del file della regola in uscita modificata.
Per ulteriori informazioni, consulta Aggiornare i criteri di ingresso e uscita per un perimetro di servizio.
Limitazioni
- Prima di utilizzare i gruppi di identità, comprendi le funzionalità non supportate nelle regole di ingresso e di uscita.
- Quando utilizzi i gruppi di identità in una regola di uscita, non puoi impostare il campo
resourcesnell'attributoegressTosu"*". - Per informazioni sui limiti delle regole di inoltro e in uscita, consulta Quote e limiti.