Esta página foi traduzida pela API Cloud Translation.

Configurar grupos de identidade e identidades de terceiros em regras de entrada e saída

Esta página descreve como usar grupos de identidade em regras de entrada e saída para permitir o acesso a recursos protegidos por perímetros de serviço.

O VPC Service Controls usa regras de entrada e saída para permitir o acesso de e para recursos e clientes protegidos por perímetros de serviço. Para refinar ainda mais o acesso, especifique grupos de identidade nas regras de entrada e saída.

Um grupo de identidade é uma maneira conveniente de aplicar controles de acesso a uma coleção de usuários e permite gerenciar identidades com políticas de acesso semelhantes.

Para configurar grupos de identidade nas regras de entrada ou saída, use os seguintes grupos de identidade com suporte no atributo identities:

Grupo do Google
Identidades de terceiros, como usuários de pool de força de trabalho e identidades de carga de trabalho.

O VPC Service Controls não é compatível com a Federação de Identidade da Carga de Trabalho para GKE.

Para saber como aplicar políticas de regra de entrada e saída, consulte Como configurar políticas de entrada e saída.

Antes de começar

Leia as regras de entrada e saída.

Configurar grupos de identidade nas regras de entrada

Console

Ao atualizar uma política de entrada de um perímetro de serviço ou definir uma política de entrada durante a criação do perímetro usando o console do Google Cloud, é possível configurar a regra de entrada para usar grupos de identidade.

Ao criar ou editar um perímetro no console do Google Cloud, selecione Política de entrada.
Na seção De da sua política de entrada, selecione Selecionar identidades e grupos na lista Identidades.
Clique em Adicionar identidades.
No painel Adicionar identidades, especifique um grupo do Google ou uma identidade de terceiros a que você quer conceder acesso aos recursos no perímetro. Para especificar um grupo de identidade, use o formato especificado em Identificadores principais da API v1 do IAM.

O VPC Service Controls oferece suporte apenas às identidades v1 que começam com os prefixos group, principal e principalSet nos identificadores principais da API v1 do IAM. Por exemplo, use o formato principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID para especificar todas as identidades de colaboradores em um grupo ou use o formato group:GROUP_NAME@googlegroups.com para especificar um grupo do Google.
Clique em Adicionar identidades.
Clique em Salvar.

Para informações sobre os outros atributos de regra de entrada, consulte Referência de regras de entrada.

gcloud

É possível configurar uma regra de entrada para usar grupos de identidade usando um arquivo JSON ou um arquivo YAML. O exemplo a seguir usa o formato YAML:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

Substitua:

PRINCIPAL_IDENTIFIER: especifica um grupo do Google ou uma identidade de terceiros a que você quer conceder acesso aos recursos no perímetro. Para especificar um grupo de identidade, use o formato especificado em Identificadores principais da API v1 do IAM.

O VPC Service Controls oferece suporte apenas às identidades v1 que começam com os prefixos group, principal e principalSet nos identificadores principais da API v1 do IAM. Por exemplo, use o formato principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID para especificar todas as identidades de colaboradores em um grupo ou use o formato group:GROUP_NAME@googlegroups.com para especificar um grupo do Google.

Para informações sobre os outros atributos de regra de entrada, consulte Referência de regras de entrada.

Depois de atualizar uma regra de entrada para configurar grupos de identidade, é necessário atualizar as políticas de regra do perímetro de serviço:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

Substitua:

PERIMETER_ID: o ID do perímetro de serviço que você quer atualizar.
RULE_POLICY: o caminho do arquivo de regra de entrada modificado.

Para mais informações, consulte Como atualizar políticas de entrada e saída de um perímetro de serviço.

Configurar grupos de identidade em regras de saída

Console

Ao atualizar uma política de saída de um perímetro de serviço ou definir uma política de saída durante a criação do perímetro usando o console do Google Cloud, é possível configurar a regra de saída para usar grupos de identidade.

Ao criar ou editar um perímetro no Console do Google Cloud, selecione Política de saída.
Na seção De da sua política de saída, selecione Selecionar identidades e grupos na lista Identidades.
Clique em Adicionar identidades.
No painel Adicionar identidades, especifique um grupo do Google ou uma identidade de terceiros que possa acessar os recursos especificados fora do perímetro. Para especificar um grupo de identidade, use o formato especificado em Identificadores principais da API v1 do IAM.

O VPC Service Controls oferece suporte apenas às identidades v1 que começam com os prefixos group, principal e principalSet nos identificadores principais da API v1 do IAM. Por exemplo, use o formato principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID para especificar todas as identidades de colaboradores em um grupo ou use o formato group:GROUP_NAME@googlegroups.com para especificar um grupo do Google.
Clique em Adicionar identidades.
Clique em Salvar.

Para informações sobre os outros atributos de regra de saída, consulte Referência de regras de saída.

gcloud

É possível configurar uma regra de saída para usar grupos de identidade usando um arquivo JSON ou um arquivo YAML. O exemplo a seguir usa o formato YAML:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

Substitua:

PRINCIPAL_IDENTIFIER: especifica um grupo do Google ou uma identidade de terceiros que pode acessar os recursos especificados fora do perímetro. Para especificar um grupo de identidade, use o formato especificado em Identificadores v1 da API IAM.

O VPC Service Controls oferece suporte apenas às identidades v1 que começam com os prefixos group, principal e principalSet nos identificadores principais da API v1 do IAM. Por exemplo, use o formato principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID para especificar todas as identidades de colaboradores em um grupo ou use o formato group:GROUP_NAME@googlegroups.com para especificar um grupo do Google.

Para informações sobre os outros atributos de regra de saída, consulte Referência de regras de saída.

Depois de atualizar uma regra de saída para configurar grupos de identidade, é necessário atualizar as políticas de regra do perímetro de serviço:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

Substitua:

PERIMETER_ID: o ID do perímetro de serviço que você quer atualizar.
RULE_POLICY: o caminho do arquivo de regra de saída modificado.

Para mais informações, consulte Como atualizar políticas de entrada e saída de um perímetro de serviço.

Limitações

Antes de usar grupos de identidade, entenda os recursos sem suporte nas regras de entrada e saída.
Ao usar grupos de identidade em uma regra de saída, não é possível definir o campo resources no atributo egressTo como "*".
Para informações sobre limites de regras de entrada e saída, consulte Cotas e limites.

A seguir

Exemplo de uso de grupos de identidade e identidades de terceiros em regras de entrada e saída