Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen

Verwenden Sie Zugriffsebenen, um kontrollierten Zugriff auf geschützte Google Cloud-Ressourcen in Dienstperimetern zu gewähren.

Eine Zugriffsebene definiert eine Reihe von Attributen, die eine Anfrage erfüllen muss, damit sie berücksichtigt wird. Zugriffsebenen können verschiedene Kriterien berücksichtigen, z. B. IP-Adresse und Nutzeridentität.

Eine detaillierte Übersicht über Zugriffsebenen finden Sie in der Beschreibung zu Access Context Manager.

Einschränkungen bei der Verwendung von Zugriffsebenen mit VPC Service Controls

Bei der Verwendung von Zugriffsebenen mit VPC Service Controls gelten bestimmte Einschränkungen:

  • Zugriffsebenen erlauben für die Ressourcen eines geschützten Dienstes innerhalb eines Perimeters nur Anfragen von außerhalb eines Perimeters.

    Sie können keine Zugriffsebenen verwenden, um Anfragen von einer geschützten Ressource innerhalb eines Perimeters an Ressourcen außerhalb des Perimeters zuzulassen. Beispiel: Ein Compute Engine-Client innerhalb eines Dienstperimeters, der einen Compute Engine-create-Vorgang aufruft, bei dem sich die Bildressource außerhalb des Perimeters befindet. Wenn Sie den Zugriff von einer geschützten Ressource innerhalb eines Perimeters auf Ressourcen außerhalb des Perimeters zulassen möchten, verwenden Sie eine Richtlinie für ausgehenden Traffic.

  • Anfragen für eine geschützte Ressource in einem Perimeter, die von einem anderen Perimeter stammen, werden abgelehnt, auch wenn eine Zugriffsebene normalerweise die externe Anfrage zulässt. Weitere Informationen finden Sie unter Anfragen zwischen Perimetern.

  • Sie können in den Zugriffsebenen nur öffentliche IP-Adressbereiche für IP-basierte Zulassungslisten verwenden. Sie können in diese Zulassungslisten keine interne IP-Adresse aufnehmen. Interne IP-Adressen sind mit einem VPC-Netzwerk verknüpft. Auf VPC-Netzwerke muss von ihrem zugehörigen Projekt verwiesen werden. Dazu verwenden Sie eine Regel für eingehenden oder ausgehenden Traffic oder einen Dienstperimeter.

Zugriffsebenen erstellen und verwalten

Zugriffsebenen werden mit Access Context Manager erstellt und verwaltet.

Zugriffsebene erstellen

Informationen dazu, wie Sie eine Zugriffsebene erstellen, entnehmen Sie der Dokumentation zu Access Context Manager.

In den folgenden Beispielen wird erläutert, wie Sie eine Zugriffsebene für zwei Kriterien erstellen:

Dienstperimetern Zugriffsebenen hinzufügen

Sie können einem Dienstperimeter bei dessen Erstellung oder einem vorhandenen Perimeter Zugriffsebenen hinzufügen:

Zugriffsebenen verwalten

Informationen zum Auflisten, Ändern und Löschen vorhandener Zugriffsebenen finden Sie unter Zugriffsebenen verwalten.

Weitere Informationen