Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen

Mithilfe von Zugriffsebenen können Sie kontrollierten Zugriff auf geschützte Google Cloud-Ressourcen in Dienstperimetern von außerhalb eines Perimeters gewähren.

Eine Zugriffsebene definiert eine Reihe von Attributen, die eine Anfrage erfüllen muss, damit sie berücksichtigt wird. Zugriffsebenen können verschiedene Kriterien berücksichtigen, z. B. IP-Adresse und Nutzeridentität.

Eine detaillierte Übersicht über Zugriffsebenen finden Sie in der Beschreibung zu Access Context Manager.

Bevor Sie Zugriffsebenen in Ihrem Perimeter verwenden, sollten Sie Folgendes beachten:

  • Zugriffsebenen und Eingangsregeln werden gemeinsam verwendet, um den eingehenden Traffic zu einem Perimeter zu steuern. VPC Service Controls erlaubt eine Anfrage, wenn sie die Bedingungen der Zugriffsebene oder der Regel für eingehenden Traffic erfüllt.

  • Wenn Sie einem Dienstperimeter mehrere Zugriffsebenen hinzufügen, erlaubt VPC Service Controls eine Anfrage, wenn sie die Bedingungen einer der Zugriffsebenen erfüllt.

Einschränkungen bei der Verwendung von Zugriffsebenen mit VPC Service Controls

Bei der Verwendung von Zugriffsebenen mit VPC Service Controls gelten bestimmte Einschränkungen:

  • Zugriffsebenen erlauben für die Ressourcen eines geschützten Dienstes innerhalb eines Perimeters nur Anfragen von außerhalb eines Perimeters.

    Sie können keine Zugriffsebenen verwenden, um Anfragen von einer geschützten Ressource innerhalb eines Perimeters für Ressourcen außerhalb des Perimeters zuzulassen. Beispiel: Ein Compute Engine-Client innerhalb eines Dienstperimeters ruft einen create-Vorgang von Compute Engine auf, wobei sich die Image-Ressource außerhalb des Perimeters befindet. Verwenden Sie eine Richtlinie für ausgehenden Traffic, um den Zugriff von einer geschützten Ressource innerhalb eines Perimeters auf Ressourcen außerhalb des Perimeters zuzulassen.

  • Zugriffsebenen können zwar verwendet werden, um Anfragen von außerhalb eines Dienstperimeters zuzulassen, sie können jedoch nicht verwendet werden, um Anfragen eines anderen Perimeters an eine geschützte Ressource in Ihrem Perimeter zuzulassen. Damit Anfragen von einem anderen Perimeter an geschützte Ressourcen in Ihrem Perimeter zugelassen werden, muss der andere Perimeter eine Richtlinie für ausgehenden Traffic verwenden. Weitere Informationen finden Sie unter Anfragen zwischen Perimetern.

  • Um den Perimeterzugriff von privaten Ressourcen zu ermöglichen, die in einem anderen Projekt oder einer anderen Organisation bereitgestellt werden, ist im Quellprojekt ein Cloud NAT-Gateway erforderlich. Cloud NAT ist in Privaten Google-Zugriff integriert. Dadurch wird der privater Google-Zugriff automatisch im Subnetzwerk der Ressource aktiviert und der Traffic zu Google APIs und ‑Diensten bleibt intern, anstatt über die externe IP-Adresse des Cloud NAT-Gateways an das Internet weitergeleitet zu werden. Da der Traffic innerhalb des internen Google-Netzwerks weitergeleitet wird, wird das Feld RequestMetadata.caller_ip des AuditLog-Objekts zu gce-internal-ip entfernt. Anstatt die externe IP-Adresse des Cloud NAT-Gateways in der Zugriffsebene für die IP-basierte Zulassungsliste zu verwenden, konfigurieren Sie eine Ingress-Regel, um den Zugriff basierend auf anderen Attributen wie dem Projekt- oder Dienstkonto zuzulassen.

Zugriffsebenen erstellen und verwalten

Zugriffsebenen werden mit Access Context Manager erstellt und verwaltet.

Zugriffsebene erstellen

Informationen dazu, wie Sie eine Zugriffsebene erstellen, entnehmen Sie der Dokumentation zu Access Context Manager.

In den folgenden Beispielen wird erläutert, wie Sie eine Zugriffsebene für zwei Kriterien erstellen:

Dienstperimetern Zugriffsebenen hinzufügen

Sie können einem Dienstperimeter bei dessen Erstellung oder einem vorhandenen Perimeter Zugriffsebenen hinzufügen:

Zugriffsebenen verwalten

Informationen zum Auflisten, Ändern und Löschen vorhandener Zugriffsebenen finden Sie unter Zugriffsebenen verwalten.

Nächste Schritte