Permite el acceso a recursos protegidos desde fuera del perímetro
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Para otorgar acceso controlado a recursos Google Cloud protegidos en perímetros de servicio desde fuera de un perímetro, usa los niveles de acceso.
Un nivel de acceso define un conjunto de atributos que una solicitud debe cumplir para que la solicitud se respete. Los niveles de acceso pueden considerar varios criterios, como la dirección IP y la identidad del usuario.
Antes de usar los niveles de acceso en tu perímetro, ten en cuenta lo siguiente:
Los niveles de acceso y las reglas de entrada trabajan en conjunto para controlar el tráfico entrante a un perímetro.
Los Controles del servicio de VPC permiten una solicitud si satisface las condiciones del nivel de acceso o de la regla de entrada.
Si agregas varios niveles de acceso a un perímetro de servicio, los Controles del servicio de VPC permiten una solicitud si satisface las condiciones de cualquiera de los niveles de acceso.
Limitaciones del uso de niveles de acceso con los Controles del servicio de VPC
Cuando se usan niveles de acceso con los Controles del servicio de VPC, se aplican ciertas limitaciones:
Los niveles de acceso solo permiten solicitudes externas al perímetro para los recursos de un servicio protegido dentro de un perímetro.
No puedes usar los niveles de acceso para permitir solicitudes de un recurso protegido dentro de un perímetro a recursos fuera del perímetro. Por ejemplo, un cliente de Compute Engine dentro de un perímetro de servicio que llama a una operación create de Compute Engine en la que el recurso de imagen está fuera del perímetro. Para permitir el acceso desde un recurso protegido dentro de un perímetro a los recursos fuera del perímetro, usa una política de salida.
Aunque los niveles de acceso se usan para permitir solicitudes desde fuera de un perímetro de servicio,
no puedes usar los niveles de acceso para permitir solicitudes de otro perímetro a un recurso protegido en tu
perímetro. Para permitir solicitudes de otro perímetro a recursos protegidos en tu perímetro, el otro perímetro debe usar una política de salida.
Para obtener más información, lee sobre las solicitudes entre perímetros.
Para permitir el acceso perimetral desde recursos privados implementados en una organización o un proyecto diferente, se requiere una puerta de enlace de Cloud NAT en el proyecto de origen. Cloud NAT tiene una integración con el Acceso privado a Google que habilita automáticamente el Acceso privado a Google en la subred del recurso y mantiene el tráfico a las APIs y los servicios de Google interno, en lugar de enrutarlo a Internet con la dirección IP externa de la puerta de enlace de Cloud NAT. A medida que el tráfico se enruta dentro de la red interna de Google, el campo RequestMetadata.caller_ip del objeto AuditLog se oculta en gce-internal-ip. En lugar de usar la dirección IP externa de la puerta de enlace de Cloud NAT en el nivel de acceso para la lista de entidades permitidas basada en IP, configura una regla de entrada para permitir el acceso en función de otros atributos, como el proyecto o la cuenta de servicio.
Crea y administra niveles de acceso
Los niveles de acceso se crean y administran mediante Access Context Manager.
Crea un nivel de acceso
Para crear un nivel de acceso, consulta Crea un nivel de acceso en la documentación de Access Context Manager.
En los siguientes ejemplos, se explica cómo crear un nivel de acceso con diferentes condiciones:
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# Allow access to protected resources from outside a perimeter\n\nTo grant controlled access to protected Google Cloud resources in\nservice perimeters from outside a perimeter, use **access levels**.\n\nAn access level defines a set of attributes that a request must meet for the request\nto be honored. Access levels can include various criteria, such as IP address and\nuser identity.\n\nFor a detailed overview of access levels, read the\n[Access Context Manager overview](/access-context-manager/docs/overview).\n\nBefore you use access levels in your perimeter, consider the following:\n\n- Access levels and [ingress rules](/vpc-service-controls/docs/ingress-egress-rules#ingress-rules-reference)\n work together to control incoming traffic to a perimeter.\n VPC Service Controls allows a request if it satisfies the conditions of\n either the access level or the ingress rule.\n\n- If you add multiple access levels to a service perimeter,\n VPC Service Controls allows a request if it satisfies the conditions of\n any one of the access levels.\n\nLimitations of using access levels with VPC Service Controls\n------------------------------------------------------------\n\nWhen using access levels with Service Controls, certain limitations apply:\n\n- Access levels only allow requests from *outside* a perimeter for the\n resources of a protected service *inside* a perimeter.\n\n You cannot use access levels to allow requests from a protected resource\n *inside* a perimeter to resources *outside* the perimeter. For example,\n a Compute Engine client within a service perimeter calling a\n Compute Engine `create` operation where the image resource is outside the\n perimeter. To allow access from a protected resource inside a perimeter to\n resources outside the perimeter, use an [egress policy](/vpc-service-controls/docs/configuring-ingress-egress-policies).\n- Even though access levels are used to allow requests from outside a service perimeter,\n you cannot use access levels to allow requests from *another* perimeter to a protected resource in your\n perimeter. To allow requests from *another* perimeter to protected resources in\n your perimeter, the other perimeter must use an [egress policy](/vpc-service-controls/docs/configuring-ingress-egress-policies).\n For more information, read about\n [requests between perimeters](/vpc-service-controls/docs/troubleshooting#requests-between-perimeters).\n\n- To allow perimeter access from private resources deployed in a\n different project or organization, a Cloud NAT gateway is required\n in the source project. [Cloud NAT](/nat/docs/nat-product-interactions#interaction-pga)\n has an integration with [Private Google Access](/vpc/docs/configure-private-google-access)\n that automatically enables Private Google Access on the resource's\n subnet, and keeps the traffic to Google APIs and services internal,\n as opposed to routing it to the internet using the Cloud NAT\n gateway external IP address. As the traffic is routed within the internal\n Google network, the `RequestMetadata.caller_ip` field of the `AuditLog`\n object is redacted to `gce-internal-ip`. Instead of using the\n Cloud NAT gateway external IP address in the access level for\n [IP-based allowlist](/vpc-service-controls/docs/access-level-design#source-ip),\n configure an ingress rule to allow access based on other attributes such as\n the project or service account.\n\nCreate and manage access levels\n-------------------------------\n\nAccess levels are created and managed using Access Context Manager.\n\n### Create an access level\n\nTo create an access level, read about\n[creating an access level](/access-context-manager/docs/create-basic-access-level)\nin the Access Context Manager documentation.\n\nThe following examples explain how to create an access level using different\nconditions:\n\n- [IP address](/access-context-manager/docs/create-basic-access-level#corporate-network-example)\n- [User and service accounts](/access-context-manager/docs/create-basic-access-level#members-example) (principals)\n- [Device policy](/access-context-manager/docs/access-level-attributes#device-policy)\n\n### Add access levels to service perimeters\n\nYou can add access levels to a service perimeter when creating the perimeter,\nor to an existing perimeter:\n\n- Read about\n [adding access levels when you create a perimeter](/vpc-service-controls/docs/create-service-perimeters#external-access)\n\n- Read about\n [adding access levels to an existing perimeter](/vpc-service-controls/docs/manage-service-perimeters#add-access-level)\n\n### Manage access levels\n\nFor information about listing, modifying, and deleting existing access levels,\nread [Managing access levels](/access-context-manager/docs/manage-access-levels).\n\nWhat's next\n-----------\n\n- [Creating an access level](/access-context-manager/docs/create-basic-access-level)\n\n*[VPC]: Virtual Private Cloud"]]
