Mithilfe von Zugriffsebenen können Sie kontrollierten Zugriff auf geschützte Google Cloud-Ressourcen in Dienstperimetern von außerhalb eines Perimeters gewähren.
Eine Zugriffsebene definiert eine Reihe von Attributen, die eine Anfrage erfüllen muss, damit sie berücksichtigt wird. Zugriffsebenen können verschiedene Kriterien berücksichtigen, z. B. IP-Adresse und Nutzeridentität.
Eine detaillierte Übersicht über Zugriffsebenen finden Sie in der Beschreibung zu Access Context Manager.
Einschränkungen bei der Verwendung von Zugriffsebenen mit VPC Service Controls
Bei der Verwendung von Zugriffsebenen mit VPC Service Controls gelten bestimmte Einschränkungen:
Zugriffsebenen erlauben für die Ressourcen eines geschützten Dienstes innerhalb eines Perimeters nur Anfragen von außerhalb eines Perimeters.
Sie können keine Zugriffsebenen verwenden, um Anfragen von einer geschützten Ressource innerhalb eines Perimeters für Ressourcen außerhalb des Perimeters zuzulassen. Beispiel: Ein Compute Engine-Client innerhalb eines Dienstperimeters ruft einen
create-Vorgang von Compute Engine auf, wobei sich die Image-Ressource außerhalb des Perimeters befindet. Verwenden Sie eine Richtlinie für ausgehenden Traffic, um den Zugriff von einer geschützten Ressource innerhalb eines Perimeters auf Ressourcen außerhalb des Perimeters zuzulassen.Zugriffsebenen können zwar verwendet werden, um Anfragen von außerhalb eines Dienstperimeters zuzulassen, sie können jedoch nicht verwendet werden, um Anfragen eines anderen Perimeters an eine geschützte Ressource in Ihrem Perimeter zuzulassen. Damit Anfragen von einem anderen Perimeter an geschützte Ressourcen in Ihrem Perimeter zugelassen werden, muss der andere Perimeter eine Richtlinie für ausgehenden Traffic verwenden. Weitere Informationen finden Sie unter Anfragen zwischen Perimetern.
Sie können in den Zugriffsebenen für IP-basierte Zulassungslisten nur öffentliche IP-Adressbereiche verwenden. Sie können keine interne IP-Adresse in diese Zulassungslisten einfügen. Interne IP-Adressen sind einem VPC-Netzwerk zugeordnet und auf VPC-Netzwerke müssen müssen über eine Regel für eingehenden oder ausgehenden Traffic oder einen Dienstperimeter von ihrem Projekt referenziert werden.
Zugriffsebenen erstellen und verwalten
Zugriffsebenen werden mit Access Context Manager erstellt und verwaltet.
Zugriffsebene erstellen
Informationen dazu, wie Sie eine Zugriffsebene erstellen, entnehmen Sie der Dokumentation zu Access Context Manager.
In den folgenden Beispielen wird erläutert, wie Sie eine Zugriffsebene für zwei Kriterien erstellen:
- IP-Adresse
- Nutzer- und Dienstkonten (Hauptkonten)
- Geräterichtlinie
Dienstperimetern Zugriffsebenen hinzufügen
Sie können einem Dienstperimeter bei dessen Erstellung oder einem vorhandenen Perimeter Zugriffsebenen hinzufügen:
Informationen zum Hinzufügen von Zugriffsebenen beim Erstellen eines Perimeters
Informationen zum Hinzufügen von Zugriffsebenen zu einem vorhandenen Perimeter
Zugriffsebenen verwalten
Informationen zum Auflisten, Ändern und Löschen vorhandener Zugriffsebenen finden Sie unter Zugriffsebenen verwalten.