Consentire l'accesso a risorse protette dall'esterno di un perimetro
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Per concedere l'accesso controllato alle risorse Google Cloud protette nei perimetri di servizio dall'esterno di un perimetro, utilizza i livelli di accesso.
Un livello di accesso definisce un insieme di attributi che una richiesta deve soddisfare per essere accettata. I livelli di accesso possono includere vari criteri, ad esempio l'indirizzo IP e l'identità utente.
Prima di utilizzare i livelli di accesso nel perimetro, tieni presente quanto segue:
I livelli di accesso e le regole di ingresso lavorano insieme per controllare il traffico in entrata in un perimetro.
Controlli di servizio VPC consente una richiesta se soddisfa le condizioni del livello di accesso o della regola di ingresso.
Se aggiungi più livelli di accesso a un perimetro di servizio,
Controlli di servizio VPC consente una richiesta se soddisfa le condizioni di
uno dei livelli di accesso.
Limitazioni dell'utilizzo dei livelli di accesso con Controlli di servizio VPC
Quando utilizzi i livelli di accesso con Controlli di servizio VPC, si applicano alcune limitazioni:
I livelli di accesso consentono solo richieste dall'esterno di un perimetro per le risorse di un servizio protetto all'interno di un perimetro.
Non puoi utilizzare i livelli di accesso per consentire richieste da una risorsa protetta
all'interno di un perimetro alle risorse all'esterno del perimetro. Ad esempio, un client Compute Engine all'interno di un perimetro di servizio che chiama un'operazione create di Compute Engine in cui la risorsa immagine si trova al di fuori del perimetro. Per consentire l'accesso da una risorsa protetta all'interno di un perimetro alle risorse all'esterno del perimetro, utilizza un criterio di uscita.
Anche se i livelli di accesso vengono utilizzati per consentire le richieste dall'esterno di un perimetro di servizio,
non puoi utilizzare i livelli di accesso per consentire le richieste da un altro perimetro a una risorsa protetta nel tuo
perimetro. Per consentire le richieste da un altro perimetro alle risorse protette nel tuo perimetro, l'altro perimetro deve utilizzare un regolamento di uscita.
Per saperne di più, consulta la sezione sulle
richieste tra perimetri.
Per consentire l'accesso al perimetro dalle risorse private di un progetto o di un'organizzazione diversa, è necessario un gateway Cloud NAT nel progetto di origine. Cloud NAT
ha un'integrazione con l'accesso privato Google
che abilita automaticamente l'accesso privato Google sulla
subnet della risorsa e mantiene interno il traffico verso le API e i servizi Google,
anziché inoltrarlo a internet utilizzando l'indirizzo IP esterno del gateway Cloud NAT. Poiché il traffico viene indirizzato all'interno della rete interna di Google, il campo RequestMetadata.caller_ip dell'oggetto AuditLog viene oscurato in gce-internal-ip. Anziché utilizzare l'indirizzo IP esterno del gateway Cloud NAT nel livello di accesso per la lista consentita basata su IP, configura una regola di ingresso per consentire l'accesso in base ad altri attributi, come il progetto o l'account di servizio.
Creare e gestire i livelli di accesso
I livelli di accesso vengono creati e gestiti utilizzando Gestore contesto accesso.
Crea un livello di accesso
Per creare un livello di accesso, consulta la sezione sulla creazione di un livello di accesso nella documentazione di Gestore contesto accesso.
Gli esempi seguenti spiegano come creare un livello di accesso utilizzando diverse condizioni:
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Allow access to protected resources from outside a perimeter\n\nTo grant controlled access to protected Google Cloud resources in\nservice perimeters from outside a perimeter, use **access levels**.\n\nAn access level defines a set of attributes that a request must meet for the request\nto be honored. Access levels can include various criteria, such as IP address and\nuser identity.\n\nFor a detailed overview of access levels, read the\n[Access Context Manager overview](/access-context-manager/docs/overview).\n\nBefore you use access levels in your perimeter, consider the following:\n\n- Access levels and [ingress rules](/vpc-service-controls/docs/ingress-egress-rules#ingress-rules-reference)\n work together to control incoming traffic to a perimeter.\n VPC Service Controls allows a request if it satisfies the conditions of\n either the access level or the ingress rule.\n\n- If you add multiple access levels to a service perimeter,\n VPC Service Controls allows a request if it satisfies the conditions of\n any one of the access levels.\n\nLimitations of using access levels with VPC Service Controls\n------------------------------------------------------------\n\nWhen using access levels with Service Controls, certain limitations apply:\n\n- Access levels only allow requests from *outside* a perimeter for the\n resources of a protected service *inside* a perimeter.\n\n You cannot use access levels to allow requests from a protected resource\n *inside* a perimeter to resources *outside* the perimeter. For example,\n a Compute Engine client within a service perimeter calling a\n Compute Engine `create` operation where the image resource is outside the\n perimeter. To allow access from a protected resource inside a perimeter to\n resources outside the perimeter, use an [egress policy](/vpc-service-controls/docs/configuring-ingress-egress-policies).\n- Even though access levels are used to allow requests from outside a service perimeter,\n you cannot use access levels to allow requests from *another* perimeter to a protected resource in your\n perimeter. To allow requests from *another* perimeter to protected resources in\n your perimeter, the other perimeter must use an [egress policy](/vpc-service-controls/docs/configuring-ingress-egress-policies).\n For more information, read about\n [requests between perimeters](/vpc-service-controls/docs/troubleshooting#requests-between-perimeters).\n\n- To allow perimeter access from private resources deployed in a\n different project or organization, a Cloud NAT gateway is required\n in the source project. [Cloud NAT](/nat/docs/nat-product-interactions#interaction-pga)\n has an integration with [Private Google Access](/vpc/docs/configure-private-google-access)\n that automatically enables Private Google Access on the resource's\n subnet, and keeps the traffic to Google APIs and services internal,\n as opposed to routing it to the internet using the Cloud NAT\n gateway external IP address. As the traffic is routed within the internal\n Google network, the `RequestMetadata.caller_ip` field of the `AuditLog`\n object is redacted to `gce-internal-ip`. Instead of using the\n Cloud NAT gateway external IP address in the access level for\n [IP-based allowlist](/vpc-service-controls/docs/access-level-design#source-ip),\n configure an ingress rule to allow access based on other attributes such as\n the project or service account.\n\nCreate and manage access levels\n-------------------------------\n\nAccess levels are created and managed using Access Context Manager.\n\n### Create an access level\n\nTo create an access level, read about\n[creating an access level](/access-context-manager/docs/create-basic-access-level)\nin the Access Context Manager documentation.\n\nThe following examples explain how to create an access level using different\nconditions:\n\n- [IP address](/access-context-manager/docs/create-basic-access-level#corporate-network-example)\n- [User and service accounts](/access-context-manager/docs/create-basic-access-level#members-example) (principals)\n- [Device policy](/access-context-manager/docs/access-level-attributes#device-policy)\n\n### Add access levels to service perimeters\n\nYou can add access levels to a service perimeter when creating the perimeter,\nor to an existing perimeter:\n\n- Read about\n [adding access levels when you create a perimeter](/vpc-service-controls/docs/create-service-perimeters#external-access)\n\n- Read about\n [adding access levels to an existing perimeter](/vpc-service-controls/docs/manage-service-perimeters#add-access-level)\n\n### Manage access levels\n\nFor information about listing, modifying, and deleting existing access levels,\nread [Managing access levels](/access-context-manager/docs/manage-access-levels).\n\nWhat's next\n-----------\n\n- [Creating an access level](/access-context-manager/docs/create-basic-access-level)\n\n*[VPC]: Virtual Private Cloud"]]
