Per concedere l'accesso controllato alle risorse Google Cloud protette in perimetri di servizio dall'esterno di un perimetro, utilizza i livelli di accesso.
Un livello di accesso definisce un insieme di attributi che una richiesta deve soddisfare onorare. I livelli di accesso possono includere vari criteri, ad esempio indirizzo IP e e l'identità utente.
Per una panoramica dettagliata dei livelli di accesso, leggi le Panoramica di Gestore contesto accesso.
Limitazioni dell'utilizzo dei livelli di accesso con Controlli di servizio VPC
Quando utilizzi i livelli di accesso con Controlli di servizio VPC, si applicano alcune limitazioni:
I livelli di accesso consentono solo le richieste dall'esterno di un perimetro per di risorse di un servizio protetto all'interno di un perimetro.
Non puoi utilizzare i livelli di accesso per consentire le richieste da una risorsa protetta all'interno di un perimetro alle risorse all'esterno del perimetro. Ad esempio: a un client Compute Engine all'interno di un perimetro di servizio che chiama Operazione
createdi Compute Engine in cui la risorsa immagine si trova all'esterno perimetrale. Consentire l'accesso da una risorsa protetta all'interno di un perimetro a: risorse esterne al perimetro, utilizza un criterio di traffico in uscita.Anche se i livelli di accesso vengono utilizzati per consentire le richieste dall'esterno di un perimetro di servizio, non puoi utilizzare livelli di accesso per consentire richieste da un altro perimetro a una risorsa protetta nel tuo perimetrale. Consentire le richieste da un altro perimetro alle risorse protette in tuo perimetro, l'altro deve usare un criterio di traffico in uscita. Per ulteriori informazioni, leggi le richieste tra i perimetri.
Puoi utilizzare solo intervalli di indirizzi IP pubblici nei livelli di accesso per le liste consentite basate su IP. Non puoi includere un parametro indirizzo IP interno in queste liste consentite. Interno Gli indirizzi IP sono associati a una rete VPC e le reti VPC devono a cui fa riferimento il progetto contenitore tramite una regola di ingresso o uscita oppure un perimetro di servizio.
consentire l'accesso al perimetro da parte delle risorse private di cui è stato eseguito il deployment in una in un altro progetto o in un'organizzazione diversa, è richiesto un gateway Cloud NAT nel progetto di origine. Cloud NAT ha un'integrazione con l'accesso privato Google che abilita automaticamente l'accesso privato Google sul traffico e mantiene il traffico verso le API e i servizi Google interni, anziché instradarlo a internet utilizzando Cloud NAT all'indirizzo IP esterno del gateway. Quando il traffico viene instradato all'interno Rete Google, il campo
RequestMetadata.caller_ipdell'AuditLogl'oggetto è oscurato ingce-internal-ip. Invece di utilizzare Indirizzo IP esterno del gateway Cloud NAT nel livello di accesso per Lista consentita basata su IP configurare una regola in entrata per consentire l'accesso in base ad altri attributi come l'account del progetto o di servizio.
Creare e gestire i livelli di accesso
I livelli di accesso vengono creati e gestiti utilizzando Gestore contesto accesso.
Crea un livello di accesso
Per creare un livello di accesso, scopri di più creazione di un livello di accesso nella documentazione di Gestore contesto accesso.
I seguenti esempi spiegano come creare un livello di accesso utilizzando diversi condizioni:
Aggiungi livelli di accesso ai perimetri di servizio
Puoi aggiungere livelli di accesso a un perimetro di servizio quando lo crei. oppure a un perimetro esistente:
Informazioni aggiungendo livelli di accesso quando crei un perimetro
Informazioni aggiunta di livelli di accesso a un perimetro esistente
Gestire i livelli di accesso
Per informazioni su come elencare, modificare ed eliminare i livelli di accesso esistenti, consulta Gestione dei livelli di accesso.