Conceder acceso controlado a recursos protegidos de Google Cloud en desde fuera del perímetro, usa niveles de acceso.
Un nivel de acceso define un conjunto de atributos que una solicitud debe cumplir para que la solicitud se respete. Los niveles de acceso pueden considerar varios criterios, como la dirección IP y la identidad del usuario.
Para obtener una descripción detallada de los niveles de acceso, consulta la descripción general de Access Context Manager.
Limitaciones del uso de niveles de acceso con los Controles del servicio de VPC
Cuando se usan niveles de acceso con los Controles del servicio de VPC, se aplican ciertas limitaciones:
Los niveles de acceso solo permiten solicitudes externas al perímetro para los recursos de un servicio protegido dentro de un perímetro.
No puedes usar los niveles de acceso para permitir solicitudes de un recurso protegido dentro de un perímetro a recursos fuera del perímetro. Por ejemplo, un cliente de Compute Engine dentro de un perímetro de servicio que llama a una operación
create
de Compute Engine en la que el recurso de imagen está fuera del perímetro. Para permitir el acceso desde un recurso protegido dentro de un perímetro a recursos fuera del perímetro, usa una política de salida.Aunque los niveles de acceso se usan para permitir solicitudes desde fuera de un perímetro de servicio, no puedes usar los niveles de acceso para permitir solicitudes de otro perímetro a un recurso protegido en tu perímetro. Para permitir solicitudes de otro perímetro a recursos protegidos en tu perímetro, el otro debe usar una política de salida. Para obtener más información, lee sobre las solicitudes entre perímetros.
Solo puedes usar rangos de direcciones IP públicas en los niveles de acceso para las listas de permisos basadas en IP. No puedes incluir una dirección IP interna en estas listas de permisos. Las direcciones IP internas están asociadas con una red de VPC, y el proyecto que las contiene debe hacer referencia a las redes de VPC mediante un proyectoentrada o salida regla, o un Perímetro de servicio.
Para permitir el acceso perimetral desde recursos privados implementados en un proyecto o una organización diferente, se requiere una puerta de enlace de Cloud NAT en el proyecto de origen. Cloud NAT tiene una integración con el Acceso privado a Google que habilita automáticamente el Acceso privado a Google en la subred del recurso y mantiene el tráfico a las APIs y los servicios de Google interno, en lugar de enrutarlo a Internet con la dirección IP externa de la puerta de enlace de Cloud NAT. A medida que el tráfico se enruta dentro del Red de Google, el campo
RequestMetadata.caller_ip
de laAuditLog
objeto se oculta engce-internal-ip
. En lugar de usar Dirección IP externa de la puerta de enlace de Cloud NAT en el nivel de acceso para Lista de entidades permitidas basadas en IP, configurar una regla de entrada para permitir el acceso basado en otros atributos, como el proyecto o la cuenta de servicio.
Crea y administra niveles de acceso
Los niveles de acceso se crean y administran mediante Access Context Manager.
Crea un nivel de acceso
Para crear un nivel de acceso, consulta Crea un nivel de acceso en la documentación de Access Context Manager.
En los siguientes ejemplos, se explica cómo crear un nivel de acceso con diferentes condiciones:
Agrega niveles de acceso a perímetros de servicio
Puedes agregar niveles de acceso a un perímetro de servicio cuando creas el perímetro o agregarlos a un perímetro existente:
Administra niveles de acceso
Para obtener información sobre cómo enumerar, modificar y borrar niveles de acceso existentes, consulta Administra niveles de acceso.