Pour accorder un accès contrôlé aux ressources Google Cloud protégées dans des périmètres de service depuis l'extérieur d'un périmètre, utilisez des niveaux d'accès.
Un niveau d'accès définit un ensemble d'attributs qui doivent être respectés avant qu'une requête ne soit honorée. Les niveaux d'accès peuvent prendre en compte divers critères, tels que l'adresse IP et l'identité de l'utilisateur.
Pour obtenir un aperçu détaillé des niveaux d'accès, consultez la présentation d'Access Context Manager.
Limites d'utilisation des niveaux d'accès avec VPC Service Controls
Lorsque vous utilisez des niveaux d'accès avec VPC Service Controls, certaines limites s'appliquent :
Les niveaux d'accès n'autorisent que les requêtes provenant de l'extérieur d'un périmètre pour les ressources d'un service protégé situé à l'intérieur d'un périmètre.
Vous ne pouvez pas utiliser les niveaux d'accès pour autoriser des requêtes provenant d'un service protégé situé à l'intérieur d'un périmètre pour des ressources situées à l'extérieur du périmètre. Par exemple, un client Compute Engine dans un périmètre de service appelant une opération Compute Engine
create, pour laquelle la ressource d'image se trouve en dehors du périmètre. Pour autoriser l'accès d'une ressource protégée à l'intérieur d'un périmètre à des ressources extérieures au périmètre, utilisez une règle de sortie.Même si les niveaux d'accès sont utilisés pour autoriser des requêtes provenant de l'extérieur d'un périmètre de service, vous ne pouvez pas utiliser les niveaux d'accès pour autoriser les requêtes provenant d'un autre périmètre vers une ressource protégée de votre périmètre. Pour autoriser les requêtes provenant d'un autre périmètre vers des ressources protégées dans périmètre, l'autre périmètre doit utiliser une règle de sortie. Pour en savoir plus, consultez requêtes entre les périmètres.
Vous ne pouvez utiliser que des plages CIDR d'adresses IP publiques dans les niveaux d'accès des listes d'autorisation basées sur l'adresse IP. Vous ne pouvez pas inclure d'adresse IP interne dans ces listes d'autorisation. Les adresses IP internes sont associées à un réseau VPC. Les réseaux VPC doivent être référencés par leur projet conteneur à l'aide d'une règle d'entrée ou de sortie ou d'un périmètre de service.
Pour autoriser l'accès au périmètre à partir de ressources privées déployées dans un un autre projet ou une autre organisation, une passerelle Cloud NAT est requise dans le projet source. Cloud NAT intègre l'accès privé à Google. qui active automatiquement l'accès privé à Google et maintient le trafic vers les API et services Google en interne, plutôt que vers Internet via le service Cloud NAT l'adresse IP externe de la passerelle. Comme le trafic est acheminé au sein du réseau Réseau Google, le champ
RequestMetadata.caller_ipdeAuditLogest masqué dansgce-internal-ip. Au lieu d'utiliser le Adresse IP externe de la passerelle Cloud NAT dans le niveau d'accès pour Liste d'autorisation basée sur l'adresse IP configurer une règle d'entrée pour autoriser l'accès en fonction d'autres attributs tels que le projet ou le compte de service.
Créer et gérer des niveaux d'accès
Les niveaux d'accès sont créés et gérés à l'aide d'Access Context Manager.
Créer un niveau d'accès
Pour créer un niveau d'accès, consultez la section Créer un niveau d'accès de la documentation d'Access Context Manager.
Les exemples suivants expliquent comment créer un niveau d'accès en utilisant différentes conditions :
- Adresse IP
- Comptes utilisateur et de services (entités principales)
- Règles relatives aux appareils
Ajouter des niveaux d'accès aux périmètres de service
Vous pouvez ajouter des niveaux d'accès à un périmètre de service lors de sa création ou en ajouter à un périmètre existant :
Découvrez comment ajouter des niveaux d'accès lors de la création d'un périmètre.
Découvrez comment ajouter des niveaux d'accès à un périmètre existant.
Gérer les niveaux d'accès
Pour savoir comment répertorier, modifier et supprimer des niveaux d'accès existants, consultez la page Gérer les niveaux d'accès.