Permitir acesso a recursos protegidos fora de um perímetro

Para conceder acesso controlado aos recursos protegidos do Google Cloud em perímetros de serviço de fora de um perímetro, use os níveis de acesso.

Um nível de acesso define um conjunto de atributos que uma solicitação precisa atender para que a solicitação seja honrada. Os níveis de acesso podem incluir vários critérios, como endereço IP e identidade do usuário.

Para uma visão geral detalhada dos níveis de acesso, leia a visão geral do Access Context Manager.

Limitações do uso de níveis de acesso com o VPC Service Controls

Ao usar níveis de acesso com o VPC Service Controls, algumas limitações se aplicam:

• Os níveis de acesso só permitem solicitações de fora de um perímetro para os recursos de um serviço protegido dentro de um perímetro.

  Não é possível usar níveis de acesso para permitir solicitações de um recurso protegido dentro de um perímetro para recursos fora dele. Por exemplo, um cliente do Compute Engine em um perímetro de serviço que chama uma operação create do Compute Engine em que o recurso de imagem está fora desse perímetro. Para permitir o acesso de um recurso protegido dentro de um perímetro para recursos fora dele, use uma política de saída.

• Mesmo que os níveis de acesso sejam usados para permitir solicitações de fora de um perímetro de serviço, não é possível usá-los para permitir solicitações de outro perímetro a um recurso protegido no perímetro. Para permitir solicitações de outro perímetro a recursos protegidos em seu, o outro perímetro precisa usar uma política de saída. Para mais informações, leia sobre solicitações entre perímetros.

• Só é possível usar intervalos de endereços IP públicos nos níveis de acesso para listas de permissões baseadas em IP. Não é possível incluir um endereço IP interno nessas listas de permissões. Endereços IP internos são associados a uma rede VPC, e as redes VPC precisam ser referenciadas pelo projeto que a contém usando uma regra de entrada ou saída ou um perímetro de serviço.

Criar e gerenciar níveis de acesso

Os níveis de acesso são criados e gerenciados usando o Access Context Manager.

Criar um nível de acesso

Para criar um nível de acesso, leia sobre como criar um nível de acesso na documentação do Access Context Manager.

Nos exemplos a seguir, explicamos como criar um nível de acesso usando condições diferentes:

• Endereço IP
• Contas de usuário e serviço (principal)
• Política do dispositivo

Adicionar níveis de acesso a perímetros de serviço

É possível adicionar níveis de acesso a um perímetro de serviço durante a criação dele ou a perímetros existentes:

• Leia sobre como adicionar níveis de acesso ao criar um perímetro.

• Leia sobre como adicionar níveis de acesso a um perímetro existente.

Gerenciar níveis de acesso

Para mais informações sobre como listar, modificar e excluir os níveis de acesso atuais, leia Como gerenciar níveis de acesso.

A seguir

• Como criar um nível de acesso