Permitir acesso a recursos protegidos fora de um perímetro
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Para conceder acesso controlado a recursos Google Cloud protegidos em
perímetros de serviço de fora de um perímetro, use os níveis de acesso.
Um nível de acesso define um conjunto de atributos que uma solicitação precisa atender para que a solicitação
seja honrada. Os níveis de acesso podem incluir vários critérios, como endereço IP e identidade do usuário.
Antes de usar os níveis de acesso no seu perímetro, considere o seguinte:
Os níveis de acesso e as regras de entrada
trabalham juntos para controlar o tráfego de entrada em um perímetro.
O VPC Service Controls permite uma solicitação se ela atende às condições do nível de acesso ou da regra de entrada.
Se você adicionar vários níveis de acesso a um perímetro de serviço, o VPC Service Controls vai permitir uma solicitação se ela atender às condições de qualquer um dos níveis de acesso.
Limitações do uso de níveis de acesso com o VPC Service Controls
Ao usar níveis de acesso com o VPC Service Controls, algumas limitações se aplicam:
Os níveis de acesso só permitem solicitações de fora de um perímetro para os
recursos de um serviço protegido dentro de um perímetro.
Não é possível usar níveis de acesso para permitir solicitações de um recurso protegido
dentro de um perímetro para recursos fora dele. Por exemplo, um cliente do Compute Engine em um perímetro de serviço que chama uma operação create do Compute Engine em que o recurso de imagem está fora desse perímetro. Para permitir o acesso de um recurso protegido dentro de um perímetro para
recursos fora dele, use uma política de saída.
Embora os níveis de acesso sejam usados para permitir solicitações de fora de um perímetro de serviço,
não é possível usar níveis de acesso para permitir solicitações de outro perímetro a um recurso protegido no seu
perímetro. Para permitir solicitações de outro perímetro para recursos protegidos no
seu perímetro, o outro perímetro precisa usar uma política de saída.
Para mais informações, leia sobre
solicitações entre perímetros.
Para permitir o acesso ao perímetro de recursos particulares implantados em um projeto ou organização diferente, é necessário um gateway Cloud NAT no projeto de origem. O Cloud NAT
tem uma integração com o Acesso particular do Google
que ativa automaticamente o Acesso privado do Google na sub-rede do recurso
e mantém o tráfego para as APIs e serviços do Google interno,
em vez de roteá-lo para a Internet usando o endereço IP externo do gateway do Cloud NAT. Como o tráfego é roteado na rede interna do Google, o campo RequestMetadata.caller_ip do objeto AuditLog é substituído por gce-internal-ip. Em vez de usar o
endereço IP externo do gateway do Cloud NAT no nível de acesso para a
lista de permissões baseada em IP,
configure uma regra de entrada para permitir o acesso com base em outros atributos, como
a conta de projeto ou de serviço.
Criar e gerenciar níveis de acesso
Os níveis de acesso são criados e gerenciados usando o Access Context Manager.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[],[],null,["# Allow access to protected resources from outside a perimeter\n\nTo grant controlled access to protected Google Cloud resources in\nservice perimeters from outside a perimeter, use **access levels**.\n\nAn access level defines a set of attributes that a request must meet for the request\nto be honored. Access levels can include various criteria, such as IP address and\nuser identity.\n\nFor a detailed overview of access levels, read the\n[Access Context Manager overview](/access-context-manager/docs/overview).\n\nBefore you use access levels in your perimeter, consider the following:\n\n- Access levels and [ingress rules](/vpc-service-controls/docs/ingress-egress-rules#ingress-rules-reference)\n work together to control incoming traffic to a perimeter.\n VPC Service Controls allows a request if it satisfies the conditions of\n either the access level or the ingress rule.\n\n- If you add multiple access levels to a service perimeter,\n VPC Service Controls allows a request if it satisfies the conditions of\n any one of the access levels.\n\nLimitations of using access levels with VPC Service Controls\n------------------------------------------------------------\n\nWhen using access levels with Service Controls, certain limitations apply:\n\n- Access levels only allow requests from *outside* a perimeter for the\n resources of a protected service *inside* a perimeter.\n\n You cannot use access levels to allow requests from a protected resource\n *inside* a perimeter to resources *outside* the perimeter. For example,\n a Compute Engine client within a service perimeter calling a\n Compute Engine `create` operation where the image resource is outside the\n perimeter. To allow access from a protected resource inside a perimeter to\n resources outside the perimeter, use an [egress policy](/vpc-service-controls/docs/configuring-ingress-egress-policies).\n- Even though access levels are used to allow requests from outside a service perimeter,\n you cannot use access levels to allow requests from *another* perimeter to a protected resource in your\n perimeter. To allow requests from *another* perimeter to protected resources in\n your perimeter, the other perimeter must use an [egress policy](/vpc-service-controls/docs/configuring-ingress-egress-policies).\n For more information, read about\n [requests between perimeters](/vpc-service-controls/docs/troubleshooting#requests-between-perimeters).\n\n- To allow perimeter access from private resources deployed in a\n different project or organization, a Cloud NAT gateway is required\n in the source project. [Cloud NAT](/nat/docs/nat-product-interactions#interaction-pga)\n has an integration with [Private Google Access](/vpc/docs/configure-private-google-access)\n that automatically enables Private Google Access on the resource's\n subnet, and keeps the traffic to Google APIs and services internal,\n as opposed to routing it to the internet using the Cloud NAT\n gateway external IP address. As the traffic is routed within the internal\n Google network, the `RequestMetadata.caller_ip` field of the `AuditLog`\n object is redacted to `gce-internal-ip`. Instead of using the\n Cloud NAT gateway external IP address in the access level for\n [IP-based allowlist](/vpc-service-controls/docs/access-level-design#source-ip),\n configure an ingress rule to allow access based on other attributes such as\n the project or service account.\n\nCreate and manage access levels\n-------------------------------\n\nAccess levels are created and managed using Access Context Manager.\n\n### Create an access level\n\nTo create an access level, read about\n[creating an access level](/access-context-manager/docs/create-basic-access-level)\nin the Access Context Manager documentation.\n\nThe following examples explain how to create an access level using different\nconditions:\n\n- [IP address](/access-context-manager/docs/create-basic-access-level#corporate-network-example)\n- [User and service accounts](/access-context-manager/docs/create-basic-access-level#members-example) (principals)\n- [Device policy](/access-context-manager/docs/access-level-attributes#device-policy)\n\n### Add access levels to service perimeters\n\nYou can add access levels to a service perimeter when creating the perimeter,\nor to an existing perimeter:\n\n- Read about\n [adding access levels when you create a perimeter](/vpc-service-controls/docs/create-service-perimeters#external-access)\n\n- Read about\n [adding access levels to an existing perimeter](/vpc-service-controls/docs/manage-service-perimeters#add-access-level)\n\n### Manage access levels\n\nFor information about listing, modifying, and deleting existing access levels,\nread [Managing access levels](/access-context-manager/docs/manage-access-levels).\n\nWhat's next\n-----------\n\n- [Creating an access level](/access-context-manager/docs/create-basic-access-level)\n\n*[VPC]: Virtual Private Cloud"]]
