Pour accorder un accès contrôlé aux ressources Google Cloud protégées dans des périmètres de service depuis l'extérieur d'un périmètre, utilisez des niveaux d'accès.
Un niveau d'accès définit un ensemble d'attributs qui doivent être respectés avant qu'une requête ne soit honorée. Les niveaux d'accès peuvent prendre en compte divers critères, tels que l'adresse IP et l'identité de l'utilisateur.
Pour obtenir un aperçu détaillé des niveaux d'accès, consultez la présentation d'Access Context Manager.
Limites d'utilisation des niveaux d'accès avec VPC Service Controls
Lorsque vous utilisez des niveaux d'accès avec VPC Service Controls, certaines limites s'appliquent :
Les niveaux d'accès n'autorisent que les requêtes provenant de l'extérieur d'un périmètre pour les ressources d'un service protégé situé à l'intérieur d'un périmètre.
Vous ne pouvez pas utiliser les niveaux d'accès pour autoriser des requêtes provenant d'un service protégé situé à l'intérieur d'un périmètre pour des ressources situées à l'extérieur du périmètre. Par exemple, un client Compute Engine dans un périmètre de service appelant une opération Compute Engine
create, pour laquelle la ressource d'image se trouve en dehors du périmètre. Pour autoriser l'accès d'une ressource protégée à l'intérieur d'un périmètre à des ressources extérieures au périmètre, utilisez une règle de sortie.Même si les niveaux d'accès sont utilisés pour autoriser des requêtes provenant de l'extérieur d'un périmètre de service, vous ne pouvez pas les utiliser pour autoriser les requêtes provenant d'un autre périmètre vers une ressource protégée située dans votre périmètre. Pour autoriser les requêtes provenant d'un autre périmètre aux ressources protégées de votre périmètre, l'autre périmètre doit utiliser une règle de sortie. Pour en savoir plus, consultez la section concernant les requêtes entre périmètres.
Vous ne pouvez utiliser que des plages CIDR d'adresses IP publiques dans les niveaux d'accès des listes d'autorisation basées sur l'adresse IP. Vous ne pouvez pas inclure d'adresse IP interne dans ces listes d'autorisation. Les adresses IP internes sont associées à un réseau VPC. Les réseaux VPC doivent être référencés par leur projet conteneur à l'aide d'une règle d'entrée ou de sortie ou d'un périmètre de service.
Créer et gérer des niveaux d'accès
Les niveaux d'accès sont créés et gérés à l'aide d'Access Context Manager.
Créer un niveau d'accès
Pour créer un niveau d'accès, consultez la section Créer un niveau d'accès de la documentation d'Access Context Manager.
Les exemples suivants expliquent comment créer un niveau d'accès en utilisant différentes conditions :
- Adresse IP
- Comptes utilisateur et de services (entités principales)
- Règles relatives aux appareils
Ajouter des niveaux d'accès aux périmètres de service
Vous pouvez ajouter des niveaux d'accès à un périmètre de service lors de sa création ou en ajouter à un périmètre existant :
Découvrez comment ajouter des niveaux d'accès lors de la création d'un périmètre.
Découvrez comment ajouter des niveaux d'accès à un périmètre existant.
Gérer les niveaux d'accès
Pour savoir comment répertorier, modifier et supprimer des niveaux d'accès existants, consultez la page Gérer les niveaux d'accès.