Untuk memberikan akses terkontrol ke resource Google Cloud yang dilindungi di perimeter layanan dari luar perimeter, gunakan level akses.
Tingkat akses menentukan kumpulan atribut yang harus dipenuhi permintaan agar permintaan dipenuhi. Tingkat akses dapat mencakup berbagai kriteria, seperti alamat IP dan identitas pengguna.
Untuk ringkasan tingkat akses yang mendetail, baca ringkasan Access Context Manager.
Sebelum menggunakan tingkat akses di perimeter, pertimbangkan hal-hal berikut:
Tingkat akses dan aturan masuk bekerja sama untuk mengontrol traffic masuk ke perimeter. Kontrol Layanan VPC mengizinkan permintaan jika memenuhi kondisi tingkat akses atau aturan masuk.
Jika Anda menambahkan beberapa tingkat akses ke perimeter layanan, Kontrol Layanan VPC akan mengizinkan permintaan jika memenuhi kondisi salah satu tingkat akses.
Batasan penggunaan tingkat akses dengan Kontrol Layanan VPC
Saat menggunakan tingkat akses dengan Kontrol Layanan VPC, batasan tertentu berlaku:
Tingkat akses hanya mengizinkan permintaan dari luar perimeter untuk resource layanan yang dilindungi di dalam perimeter.
Anda tidak dapat menggunakan tingkat akses untuk mengizinkan permintaan dari resource terlindungi di dalam perimeter ke resource di luar perimeter. Misalnya, klien Compute Engine dalam perimeter layanan yang memanggil operasi
create
Compute Engine dengan resource image berada di luar perimeter. Untuk mengizinkan akses dari resource yang dilindungi di dalam perimeter ke resource di luar perimeter, gunakan kebijakan keluar.Meskipun level akses digunakan untuk mengizinkan permintaan dari luar perimeter layanan, Anda tidak dapat menggunakan level akses untuk mengizinkan permintaan dari perimeter lain ke resource yang dilindungi di perimeter Anda. Untuk mengizinkan permintaan dari perimeter lain ke resource yang dilindungi di perimeter Anda, perimeter lain harus menggunakan kebijakan keluar. Untuk mengetahui informasi selengkapnya, baca tentang permintaan antar-perimeter.
Untuk mengizinkan akses perimeter dari resource pribadi yang di-deploy di project atau organisasi yang berbeda, gateway Cloud NAT diperlukan di project sumber. Cloud NAT memiliki integrasi dengan Akses Google Pribadi yang otomatis mengaktifkan Akses Google Pribadi di subnet resource, dan membuat traffic ke API dan layanan Google tetap bersifat internal, bukan merutekannya ke internet menggunakan alamat IP eksternal gateway Cloud NAT. Saat traffic dirutekan dalam jaringan Google internal, kolom
RequestMetadata.caller_ip
dari objekAuditLog
disamarkan menjadigce-internal-ip
. Daripada menggunakan alamat IP eksternal gateway Cloud NAT di tingkat akses untuk daftar yang diizinkan berbasis IP, konfigurasikan aturan masuk untuk mengizinkan akses berdasarkan atribut lain seperti project atau akun layanan.
Membuat dan mengelola tingkat akses
Tingkat akses dibuat dan dikelola menggunakan Access Context Manager.
Membuat tingkat akses
Untuk membuat tingkat akses, baca artikel tentang membuat tingkat akses dalam dokumentasi Access Context Manager.
Contoh berikut menjelaskan cara membuat tingkat akses menggunakan kondisi yang berbeda:
- Alamat IP
- Akun pengguna dan layanan (akun utama)
- Kebijakan perangkat
Menambahkan tingkat akses ke perimeter layanan
Anda dapat menambahkan tingkat akses ke perimeter layanan saat membuat perimeter, atau ke perimeter yang ada:
Baca artikel tentang menambahkan tingkat akses saat membuat perimeter
Baca artikel tentang menambahkan tingkat akses ke perimeter yang ada
Mengelola tingkat akses
Untuk informasi tentang cara mencantumkan, mengubah, dan menghapus tingkat akses yang ada, baca Mengelola tingkat akses.