Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre

Pour accorder un accès contrôlé aux ressources Google Cloud protégées dans des périmètres de service depuis l'extérieur d'un périmètre, utilisez des niveaux d'accès.

Un niveau d'accès définit un ensemble d'attributs qui doivent être respectés avant qu'une requête ne soit honorée. Les niveaux d'accès peuvent prendre en compte divers critères, tels que l'adresse IP et l'identité de l'utilisateur.

Pour obtenir un aperçu détaillé des niveaux d'accès, consultez la présentation d'Access Context Manager.

Avant d'utiliser des niveaux d'accès dans votre périmètre, tenez compte des points suivants:

  • Les niveaux d'accès et les règles d'entrée fonctionnent ensemble pour contrôler le trafic entrant vers un périmètre. VPC Service Controls autorise une requête si elle répond aux conditions du niveau d'accès ou de la règle d'entrée.

  • Si vous ajoutez plusieurs niveaux d'accès à un périmètre de service, VPC Service Controls autorise une requête si elle répond aux conditions de l'un des niveaux d'accès.

Limites d'utilisation des niveaux d'accès avec VPC Service Controls

Lorsque vous utilisez des niveaux d'accès avec VPC Service Controls, certaines limites s'appliquent :

  • Les niveaux d'accès n'autorisent que les requêtes provenant de l'extérieur d'un périmètre pour les ressources d'un service protégé situé à l'intérieur d'un périmètre.

    Vous ne pouvez pas utiliser les niveaux d'accès pour autoriser des requêtes provenant d'un service protégé situé à l'intérieur d'un périmètre pour des ressources situées à l'extérieur du périmètre. Par exemple, un client Compute Engine dans un périmètre de service appelant une opération Compute Engine create, pour laquelle la ressource d'image se trouve en dehors du périmètre. Pour autoriser l'accès d'une ressource protégée à l'intérieur d'un périmètre à des ressources extérieures au périmètre, utilisez une règle de sortie.

  • Même si les niveaux d'accès sont utilisés pour autoriser les requêtes provenant de l'extérieur d'un périmètre de service, vous ne pouvez pas les utiliser pour autoriser les requêtes provenant d'un autre périmètre vers une ressource protégée dans votre périmètre. Pour autoriser les requêtes d'un autre périmètre à des ressources protégées dans votre périmètre, l'autre périmètre doit utiliser une règle de sortie. Pour en savoir plus, consultez la section Requêtes entre périmètres.

  • Pour autoriser l'accès au périmètre à partir de ressources privées déployées dans un autre projet ou une autre organisation, une passerelle Cloud NAT est requise dans le projet source. Cloud NAT est intégré à l'accès privé à Google, ce qui active automatiquement l'accès privé à Google sur le sous-réseau de la ressource et maintient le trafic vers les API et services Google en interne, au lieu de le router vers Internet à l'aide de l'adresse IP externe de la passerelle Cloud NAT. Comme le trafic est acheminé dans le réseau Google interne, le champ RequestMetadata.caller_ip de l'objet AuditLog est masqué en gce-internal-ip. Au lieu d'utiliser l'adresse IP externe de la passerelle Cloud NAT dans le niveau d'accès pour la liste d'autorisation basée sur l'adresse IP, configurez une règle d'entrée pour autoriser l'accès en fonction d'autres attributs tels que le projet ou le compte de service.

Créer et gérer des niveaux d'accès

Les niveaux d'accès sont créés et gérés à l'aide d'Access Context Manager.

Créer un niveau d'accès

Pour créer un niveau d'accès, consultez la section Créer un niveau d'accès de la documentation d'Access Context Manager.

Les exemples suivants expliquent comment créer un niveau d'accès en utilisant différentes conditions :

Ajouter des niveaux d'accès aux périmètres de service

Vous pouvez ajouter des niveaux d'accès à un périmètre de service lors de sa création ou en ajouter à un périmètre existant :

Gérer les niveaux d'accès

Pour savoir comment répertorier, modifier et supprimer des niveaux d'accès existants, consultez la page Gérer les niveaux d'accès.

Étape suivante