允许从边界外访问受保护的资源

您可以使用访问权限级别授予边界外对服务边界中的受保护 Google Cloud 资源的受控访问权限。

访问权限级别定义一组特性,请求必须满足这组特性才会被接受。访问权限级别可以考虑 IP 地址和用户身份等各种条件。

如需详细了解访问权限级别,请参阅 Access Context Manager 概览

将访问权限级别与 VPC Service Controls 结合使用的限制

将访问权限级别与 VPC Service Controls 结合使用时,应遵循以下特定限制:

  • 访问权限级别仅允许从边界外请求边界内的受保护服务的资源。

    您不能使用访问权限级别来允许边界内的受保护服务请求该边界外的资源。如果您需要受保护的服务请求边界外的资源,请尝试使用边界网桥

  • 如果对某个边界中受保护资源的请求来自另一个边界,则这些请求将始终被拒绝,即使访问权限级别通常允许外部请求也是如此。如需了解详情,请参阅边界之间的请求

使用访问权限级别

访问权限级别由 Access Context Manager 创建和管理。

创建访问权限级别

如需创建访问权限级别,请参阅 Access Context Manager 文档中的创建访问权限级别

以下示例介绍了如何使用不同条件创建访问权限级别:

向服务边界添加访问权限级别

您可以在创建边界时向服务边界添加访问权限级别,也可以向现有边界添加访问权限级别:

管理访问权限级别

如需管理您的访问权限级别,请参阅管理访问权限级别。该文档介绍了如何列出、修改和删除现有的访问权限级别。