Consentire l'accesso a risorse protette dall'esterno di un perimetro

Per concedere l'accesso controllato alle risorse Google Cloud protette nei perimetri di servizio dall'esterno di un perimetro, utilizza i livelli di accesso.

Un livello di accesso definisce un insieme di attributi che una richiesta deve soddisfare onorare. I livelli di accesso possono includere vari criteri, ad esempio l'indirizzo IP e l'identità utente.

Per una panoramica dettagliata dei livelli di accesso, leggi la panoramica di Gestore contesto accesso.

Limitazioni dell'utilizzo dei livelli di accesso con Controlli di servizio VPC

Quando utilizzi i livelli di accesso con Controlli di servizio VPC, si applicano alcune limitazioni:

  • I livelli di accesso consentono solo richieste dall'esterno di un perimetro per le risorse di un servizio protetto all'interno di un perimetro.

    Non puoi utilizzare i livelli di accesso per consentire richieste da una risorsa protetta all'interno di un perimetro a risorse all'esterno del perimetro. Ad esempio, un client Compute Engine all'interno di un perimetro di servizio che chiama un'operazione create di Compute Engine in cui la risorsa immagine si trova al di fuori del perimetro. Consentire l'accesso da una risorsa protetta all'interno di un perimetro a: risorse esterne al perimetro, utilizza un criterio di traffico in uscita.

  • Anche se i livelli di accesso vengono utilizzati per consentire le richieste dall'esterno di un perimetro di servizio, non puoi utilizzare livelli di accesso per consentire richieste da un altro perimetro a una risorsa protetta nel tuo perimetrale. Per consentire le richieste da un altro perimetro alle risorse protette nel tuo perimetro, l'altro perimetro deve utilizzare un regolamento di uscita. Per saperne di più, consulta la sezione sulle richieste tra perimetri.

  • Puoi utilizzare solo intervalli di indirizzi IP pubblici nei livelli di accesso per le liste consentite basate su IP. Non puoi includere un indirizzo IP interno in queste liste consentite. Interno Gli indirizzi IP sono associati a una rete VPC e le reti VPC devono a cui fa riferimento il progetto contenitore tramite una regola di ingresso o uscita oppure un perimetro di servizio.

  • consentire l'accesso al perimetro da parte delle risorse private di cui è stato eseguito il deployment in una in un altro progetto o in un'organizzazione diversa, è richiesto un gateway Cloud NAT nel progetto di origine. Cloud NAT ha un'integrazione con Accesso privato Google che abilita automaticamente l'accesso privato Google sulla subnet della risorsa e mantiene interno il traffico verso le API e i servizi Google, anziché inoltrarlo a internet utilizzando l'indirizzo IP esterno del gateway Cloud NAT. Quando il traffico viene indirizzato all'interno Rete Google, il campo RequestMetadata.caller_ip dell'AuditLog l'oggetto è oscurato in gce-internal-ip. Invece di utilizzare Indirizzo IP esterno del gateway Cloud NAT nel livello di accesso per Lista consentita basata su IP configurare una regola in entrata per consentire l'accesso in base ad altri attributi come l'account del progetto o di servizio.

Creare e gestire i livelli di accesso

I livelli di accesso vengono creati e gestiti utilizzando Gestore contesto accesso.

Crea un livello di accesso

Per creare un livello di accesso, scopri di più creazione di un livello di accesso nella documentazione di Gestore contesto accesso.

I seguenti esempi spiegano come creare un livello di accesso utilizzando diversi condizioni:

Aggiungere livelli di accesso ai perimetri di servizio

Puoi aggiungere livelli di accesso a un perimetro di servizio durante la creazione del perimetro o a un perimetro esistente:

Gestire i livelli di accesso

Per informazioni su come elencare, modificare ed eliminare i livelli di accesso esistenti, consulta Gestire i livelli di accesso.

Passaggi successivi