Para conceder acesso controlado aos recursos protegidos do Google Cloud em perímetros de serviço de fora de um perímetro, use os níveis de acesso.
Um nível de acesso define um conjunto de atributos que uma solicitação precisa atender para que a solicitação seja honrada. Os níveis de acesso podem incluir vários critérios, como endereço IP e identidade do usuário.
Para uma visão geral detalhada dos níveis de acesso, leia a visão geral do Access Context Manager.
Antes de usar os níveis de acesso no seu perímetro, considere o seguinte:
Os níveis de acesso e as regras de entrada trabalham juntos para controlar o tráfego de entrada em um perímetro. O VPC Service Controls permite uma solicitação se ela atende às condições do nível de acesso ou da regra de entrada.
Se você adicionar vários níveis de acesso a um perímetro de serviço, o VPC Service Controls vai permitir uma solicitação se ela atender às condições de qualquer um dos níveis de acesso.
Limitações do uso de níveis de acesso com o VPC Service Controls
Ao usar níveis de acesso com o VPC Service Controls, algumas limitações se aplicam:
Os níveis de acesso só permitem solicitações de fora de um perímetro para os recursos de um serviço protegido dentro de um perímetro.
Não é possível usar níveis de acesso para permitir solicitações de um recurso protegido dentro de um perímetro para recursos fora dele. Por exemplo, um cliente do Compute Engine em um perímetro de serviço que chama uma operação
create
do Compute Engine em que o recurso de imagem está fora desse perímetro. Para permitir o acesso de um recurso protegido dentro de um perímetro para recursos fora dele, use uma política de saída.Embora os níveis de acesso sejam usados para permitir solicitações de fora de um perímetro de serviço, não é possível usar níveis de acesso para permitir solicitações de outro perímetro a um recurso protegido no seu perímetro. Para permitir solicitações de outro perímetro para recursos protegidos no seu perímetro, o outro perímetro precisa usar uma política de saída. Para mais informações, leia sobre solicitações entre perímetros.
Para permitir o acesso ao perímetro de recursos particulares implantados em um projeto ou organização diferente, é necessário um gateway Cloud NAT no projeto de origem. O Cloud NAT tem uma integração com o Acesso particular do Google que ativa automaticamente o Acesso privado do Google na sub-rede do recurso e mantém o tráfego para as APIs e serviços do Google interno, em vez de roteá-lo para a Internet usando o endereço IP externo do gateway do Cloud NAT. Como o tráfego é roteado dentro da rede interna do Google, o campo
RequestMetadata.caller_ip
do objetoAuditLog
é substituído porgce-internal-ip
. Em vez de usar o endereço IP externo do gateway do Cloud NAT no nível de acesso para a lista de permissões baseada em IP, configure uma regra de entrada para permitir o acesso com base em outros atributos, como a conta de projeto ou de serviço.
Criar e gerenciar níveis de acesso
Os níveis de acesso são criados e gerenciados usando o Access Context Manager.
Criar um nível de acesso
Para criar um nível de acesso, leia sobre como criar um nível de acesso na documentação do Access Context Manager.
Nos exemplos a seguir, explicamos como criar um nível de acesso usando condições diferentes:
Adicionar níveis de acesso a perímetros de serviço
É possível adicionar níveis de acesso a um perímetro de serviço durante a criação dele ou a perímetros existentes:
Leia sobre como adicionar níveis de acesso ao criar um perímetro.
Leia sobre como adicionar níveis de acesso a um perímetro existente.
Gerenciar níveis de acesso
Para mais informações sobre como listar, modificar e excluir os níveis de acesso atuais, leia Como gerenciar níveis de acesso.