要授予从边界外对服务边界中的受保护 Google Cloud 资源的受控访问权限,请使用访问权限级别。
访问权限级别定义一组特性,请求必须满足这组特性才会被接受。访问权限级别可以包含 IP 地址和用户身份等各种条件。
如需详细了解访问权限级别,请参阅 Access Context Manager 概览。
在边界中使用访问权限级别之前,请考虑以下事项:
访问权限级别和入站规则会协同工作,控制传入边界的流量。如果请求满足访问权限级别或入站规则的条件,VPC Service Controls 会允许该请求。
如果您向服务边界添加多个访问权限级别,则只要请求满足其中任一访问权限级别的条件,VPC Service Controls 就会允许该请求。
将访问权限级别与 VPC Service Controls 结合使用的限制
将访问权限级别与 VPC Service Controls 结合使用时,应遵循以下特定限制:
访问权限级别仅允许从边界外请求边界内的受保护服务的资源。
您不能使用访问权限级别来允许边界内的受保护服务请求该边界外的资源。例如,服务边界内的 Compute Engine 客户端调用 Compute Engine
create操作,其中映像资源位于边界外。如需允许从边界内的受保护资源访问边界外的资源,请使用出站流量政策。即使使用访问权限级别允许从服务边界外发出的请求,您也无法使用访问权限级别来允许从另一个边界向您的边界内的受保护资源发送请求。如需允许从另一个边界向您的边界内的受保护资源发送请求,另一个边界必须使用出站流量政策。如需了解详情,请参阅边界之间的请求。
如需允许从部署在其他项目或组织中的专用资源访问边界,源项目中必须有 Cloud NAT 网关。Cloud NAT 与专用 Google 访问通道集成后,会自动在资源的子网上启用专用 Google 访问通道,并将流量保留在 Google API 和服务的内部,而不是使用 Cloud NAT 网关外部 IP 地址将其路由到互联网。由于流量在 Google 内部网络中进行路由,因此
AuditLog对象的RequestMetadata.caller_ip字段会隐去为gce-internal-ip。请勿在基于 IP 的许可名单的访问权限级别中使用 Cloud NAT 网关外部 IP 地址,而是配置入站规则,以根据项目或服务账号等其他属性允许访问。
创建和管理访问权限级别
访问权限级别由 Access Context Manager 创建和管理。
创建访问权限级别
要创建访问权限级别,请参阅 Access Context Manager 文档中的创建访问权限级别。
以下示例介绍了如何使用不同条件创建访问权限级别:
向服务边界添加访问权限级别
您可以在创建边界时向服务边界添加访问权限级别,也可以向现有边界添加访问权限级别:
了解如何在创建边界时添加访问权限级别
了解如何向现有边界添加访问权限级别
管理访问权限级别
如需了解如何列出、修改和删除现有的访问权限级别,请参阅管理访问权限级别。