Per concedere l'accesso controllato alle risorse Google Cloud protette nei perimetri di servizio dall'esterno di un perimetro, utilizza i livelli di accesso.
Un livello di accesso definisce un insieme di attributi che una richiesta deve soddisfare affinché la richiesta venga soddisfatta. I livelli di accesso possono includere vari criteri, ad esempio indirizzo IP e identità dell'utente.
Per una panoramica dettagliata dei livelli di accesso, leggi la panoramica di Gestore contesto accesso.
Limitazioni dell'utilizzo dei livelli di accesso con Controlli di servizio VPC
Quando utilizzi i livelli di accesso con i Controlli di servizio VPC, si applicano alcune limitazioni:
I livelli di accesso consentono solo richieste esterne per le risorse di un servizio protetto all'interno di un perimetro.
Non puoi utilizzare i livelli di accesso per consentire le richieste da una risorsa protetta all'interno di un perimetro alle risorse all'esterno del perimetro. Ad esempio, un client Compute Engine all'interno di un perimetro di servizio che chiama un'operazione di
createdi Compute Engine in cui la risorsa immagine è esterna al perimetro. Per consentire l'accesso da una risorsa protetta all'interno di un perimetro alle risorse esterne al perimetro, utilizza un criterio in uscita.Anche se i livelli di accesso vengono utilizzati per consentire le richieste al di fuori di un perimetro di servizio, non è possibile utilizzare i livelli di accesso per consentire le richieste da un altro perimetro a una risorsa protetta nel perimetro. Per consentire le richieste da un altro perimetro alle risorse protette nel tuo perimetro, l'altro perimetro deve utilizzare un criterio in uscita. Per scoprire di più, leggi le informazioni sulle richieste tra i perimetri.
Per le liste consentite basate su IP puoi utilizzare solo intervalli di indirizzi IP pubblici nei livelli di accesso. Non puoi includere un indirizzo IP interno in queste liste consentite. Gli indirizzi IP interni sono associati a una rete VPC. Le reti VPC devono fare riferimento al progetto che li contiene utilizzando una regola in entrata o in uscita o un perimetro di servizio.
Creare e gestire i livelli di accesso
I livelli di accesso vengono creati e gestiti utilizzando Gestore contesto accesso.
Crea un livello di accesso
Per creare un livello di accesso, consulta l'articolo sulla creazione di un livello di accesso nella documentazione di Gestore contesto accesso.
I seguenti esempi spiegano come creare un livello di accesso utilizzando condizioni diverse:
Aggiungi livelli di accesso ai perimetri di servizio
Puoi aggiungere livelli di accesso a un perimetro di servizio quando crei il perimetro o a un perimetro esistente:
Scopri di più sull'aggiunta di livelli di accesso quando crei un perimetro
Scopri di più sull'aggiunta dei livelli di accesso a un perimetro esistente
Gestire i livelli di accesso
Per informazioni su come elencare, modificare ed eliminare i livelli di accesso esistenti, consulta Gestire i livelli di accesso.