Mithilfe von Zugriffsebenen können Sie kontrollierten Zugriff auf geschützte Google Cloud-Ressourcen in Dienstperimetern von außerhalb eines Perimeters gewähren.
Eine Zugriffsebene definiert eine Reihe von Attributen, die eine Anfrage erfüllen muss, damit sie berücksichtigt wird. Zugriffsebenen können verschiedene Kriterien berücksichtigen, z. B. IP-Adresse und Nutzeridentität.
Eine detaillierte Übersicht über Zugriffsebenen finden Sie in der Beschreibung zu Access Context Manager.
Einschränkungen bei der Verwendung von Zugriffsebenen mit VPC Service Controls
Bei der Verwendung von Zugriffsebenen mit VPC Service Controls gelten bestimmte Einschränkungen:
Zugriffsebenen erlauben für die Ressourcen eines geschützten Dienstes innerhalb eines Perimeters nur Anfragen von außerhalb eines Perimeters.
Sie können keine Zugriffsebenen verwenden, um Anfragen von einer geschützten Ressource innerhalb eines Perimeters für Ressourcen außerhalb des Perimeters zuzulassen. Beispiel: Ein Compute Engine-Client innerhalb eines Dienstperimeters ruft einen
create-Vorgang von Compute Engine auf, wobei sich die Image-Ressource außerhalb des Perimeters befindet. Verwenden Sie eine Richtlinie für ausgehenden Traffic, um den Zugriff von einer geschützten Ressource innerhalb eines Perimeters auf Ressourcen außerhalb des Perimeters zuzulassen.Zugriffsebenen können zwar verwendet werden, um Anfragen von außerhalb eines Dienstperimeters zuzulassen, sie können jedoch nicht verwendet werden, um Anfragen eines anderen Perimeters an eine geschützte Ressource in Ihrem Perimeter zuzulassen. Damit Anfragen von einem anderen Perimeter an geschützte Ressourcen in Ihrem Perimeter zugelassen werden, muss der andere Perimeter eine Richtlinie für ausgehenden Traffic verwenden. Weitere Informationen finden Sie unter Anfragen zwischen Perimetern.
Um den Perimeterzugriff von privaten Ressourcen zu ermöglichen, die in einem anderen Projekt oder einer anderen Organisation bereitgestellt werden, ist im Quellprojekt ein Cloud NAT-Gateway erforderlich. Cloud NAT verfügt über eine Integration mit dem privaten Google-Zugriff mit der der privater Google-Zugriff automatisch auf der und sorgt dafür, dass der Traffic zu Google APIs und Google-Diensten intern anstatt sie mithilfe von Cloud NAT an das Internet weiterzuleiten. externe IP-Adresse des Gateways. Da der Traffic innerhalb des internen Google-Netzwerks weitergeleitet wird, wird das Feld
RequestMetadata.caller_ipdesAuditLog-Objekts zugce-internal-ipentfernt. Anstatt die Methode Externe IP-Adresse des Cloud NAT-Gateways in der Zugriffsebene für IP-basierte Zulassungsliste konfigurieren Sie eine Regel für eingehenden Traffic, um den Zugriff auf der Grundlage anderer Attribute wie das Projekt oder Dienstkonto.
Zugriffsebenen erstellen und verwalten
Zugriffsebenen werden mit Access Context Manager erstellt und verwaltet.
Zugriffsebene erstellen
Informationen dazu, wie Sie eine Zugriffsebene erstellen, entnehmen Sie der Dokumentation zu Access Context Manager.
In den folgenden Beispielen wird erläutert, wie Sie eine Zugriffsebene für zwei Kriterien erstellen:
- IP-Adresse
- Nutzer- und Dienstkonten (Hauptkonten)
- Geräterichtlinie
Dienstperimetern Zugriffsebenen hinzufügen
Sie können einem Dienstperimeter bei dessen Erstellung oder einem vorhandenen Perimeter Zugriffsebenen hinzufügen:
Informationen zum Hinzufügen von Zugriffsebenen beim Erstellen eines Perimeters
Informationen zum Hinzufügen von Zugriffsebenen zu einem vorhandenen Perimeter
Zugriffsebenen verwalten
Informationen zum Auflisten, Ändern und Löschen vorhandener Zugriffsebenen finden Sie unter Zugriffsebenen verwalten.