允许从边界外访问受保护的资源

要授予从边界外对服务边界中的受保护 Google Cloud 资源的受控访问权限，请使用访问权限级别。

访问权限级别定义一组特性，请求必须满足这组特性才会被接受。访问权限级别可以包含 IP 地址和用户身份等各种条件。

如需详细了解访问权限级别，请参阅 Access Context Manager 概览。

在边界中使用访问权限级别之前，请考虑以下事项：

• 访问权限级别和入站流量规则协同工作，以控制边界的传入流量。如果请求满足访问权限级别或入站流量规则的条件，VPC Service Controls 会允许该请求。

• 如果您向服务边界添加多个访问权限级别，则只要请求满足其中任一访问权限级别的条件，VPC Service Controls 就会允许该请求。

将访问权限级别与 VPC Service Controls 结合使用的限制

将访问权限级别与 VPC Service Controls 结合使用时，应遵循以下特定限制：

• 访问权限级别仅允许从边界外请求边界内的受保护服务的资源。

  您不能使用访问权限级别来允许边界内的受保护服务请求该边界外的资源。例如，服务边界内的 Compute Engine 客户端调用 Compute Engine create 操作，其中映像资源位于边界外。如需允许从边界内的受保护资源访问边界外的资源，请使用出站流量政策。

• 即使使用访问权限级别允许从服务边界外发出的请求，您也无法使用访问权限级别来允许从另一个边界向您的边界内的受保护资源发送请求。如需允许从另一个边界向您的边界内的受保护资源发送请求，另一个边界必须使用出站流量政策。如需了解详情，请参阅边界之间的请求。

• 如需允许从部署在其他项目或组织中的专用资源进行边界访问，源项目中必须有一个 Cloud NAT 网关。Cloud NAT 与专用 Google 访问通道集成，可在资源的子网上自动启用专用 Google 访问通道，并将流量保持在 Google APIs 和服务的内部网络中，而不是通过 Cloud NAT 网关的外部 IP 地址路由到互联网。由于流量在内部 Google 网络中路由，因此 AuditLog 对象的 RequestMetadata.caller_ip 字段会被隐去为 gce-internal-ip。请勿在基于 IP 地址的许可名单的访问权限级别中使用 Cloud NAT 网关外部 IP 地址，而是配置入站流量规则，以便根据项目或服务账号等其他属性允许访问。

创建和管理访问权限级别

访问权限级别由 Access Context Manager 创建和管理。

创建访问权限级别

要创建访问权限级别，请参阅 Access Context Manager 文档中的创建访问权限级别。

以下示例介绍了如何使用不同条件创建访问权限级别：

• IP 地址
• 用户和服务账号（主账号）
• 设备政策

向服务边界添加访问权限级别

您可以在创建边界时向服务边界添加访问权限级别，也可以向现有边界添加访问权限级别：

• 了解如何在创建边界时添加访问权限级别

• 了解如何向现有边界添加访问权限级别

管理访问权限级别

如需了解如何列出、修改和删除现有的访问权限级别，请参阅管理访问权限级别。

后续步骤

• 创建访问权限级别