允许从边界外访问受保护的资源

要授予从边界外对服务边界中的受保护 Google Cloud 资源的受控访问权限,请使用访问权限级别

访问权限级别定义一组特性,请求必须满足这组特性才会被接受。访问权限级别可以包含 IP 地址和用户身份等各种条件。

如需详细了解访问权限级别,请参阅 Access Context Manager 概览

将访问权限级别与 VPC Service Controls 结合使用的限制

将访问权限级别与 VPC Service Controls 结合使用时,应遵循以下特定限制:

  • 访问权限级别仅允许从边界外请求边界内的受保护服务的资源。

    您不能使用访问权限级别来允许边界内的受保护服务请求该边界外的资源。例如,服务边界内的 Compute Engine 客户端调用 Compute Engine create 操作,其中映像资源位于边界外。如需允许从边界内的受保护资源访问边界外的资源,请使用出站流量政策

  • 即使使用访问权限级别允许从服务边界外发出的请求,您也无法使用访问权限级别来允许从另一个边界向您的边界内的受保护资源发送请求。如需允许从另一个边界向您的边界内的受保护资源发送请求,另一个边界必须使用出站流量政策如需了解详情,请参阅边界之间的请求

  • 对于基于 IP 地址的许可名单,您只能在访问权限级别中使用公共 IP 地址范围。您无法在这些许可名单中添加内部 IP 地址。内部 IP 地址与 VPC 网络相关联,并且 VPC 网络必须由其包含的项目使用入站或出站规则或者服务边界进行引用。

  • 如需允许从部署在其他项目或组织中的专用资源访问边界,源项目中必须有 Cloud NAT 网关。Cloud NAT 已与专用 Google 访问通道集成,可自动在资源的子网上启用专用 Google 访问通道,并将流量保留在 Google API 和服务的内部,而不是使用 Cloud NAT 网关外部 IP 地址将其路由到互联网。由于流量是在 Google 广告网络,AuditLogRequestMetadata.caller_ip 字段 对象会隐去为 gce-internal-ip。您不必使用 以下服务的访问权限级别中的 Cloud NAT 网关外部 IP 地址: 基于 IP 的许可名单, 配置入站流量规则,以根据其他特性(例如 项目或服务账号

创建和管理访问权限级别

访问权限级别由 Access Context Manager 创建和管理。

创建访问权限级别

要创建访问权限级别,请参阅 Access Context Manager 文档中的创建访问权限级别

以下示例介绍了如何使用不同条件创建访问权限级别:

向服务边界添加访问权限级别

您可以在创建边界时向服务边界添加访问权限级别,也可以向现有边界添加访问权限级别:

管理访问权限级别

如需了解如何列出、修改和删除现有的访问权限级别,请参阅管理访问权限级别

后续步骤