Kontrol akses

Halaman ini menjelaskan cara mengontrol akses ke instance Filestore.

• Dengan protokol NFSv4.1, Anda dapat menggunakan Kerberos untuk mengamankan akses ke instance Filestore. Untuk mengetahui informasi selengkapnya, lihat Tentang protokol yang didukung.

• Atau, Anda dapat menggunakan opsi Linux untuk mengontrol akses NFS dan Identity and Access Management (IAM) untuk mengontrol akses ke operasi instance, seperti membuat, mengedit, melihat, dan menghapus instance. Panduan berikut akan memandu Anda menyelesaikan setiap tugas ini.

Setelan ekspor berbagi file

Berbagi file Filestore diberi setelan /etc/exports default berikut:

• Daftar klien—yang mengidentifikasi klien yang diizinkan untuk terhubung ke berbagi file—berisi setiap alamat IP internal di jaringan VPC yang Anda pilih untuk instance Filestore. Alamat IP internal dapat berupa rentang apa pun yang tercantum dalam rentang subnet. Namun, jika Anda memiliki klien di rentang subnet non-RFC 1918, Anda harus memberikan akses secara eksplisit ke instance Filestore menggunakan kontrol akses berbasis IP.
• Opsi rw digunakan, sehingga berbagi file memungkinkan operasi baca dan tulis.
• Opsi pemetaan ID pengguna no_root_squash digunakan, sehingga semua pengguna dan grup, termasuk pengguna root, diharapkan sama di instance Filestore dan klien.
• Semua opsi lainnya menggunakan default /etc/exports.

Instance tingkat dasar

Instance SSD dasar dan HDD dasar membuat share yang diekspor dengan label /config/google-prober, yang digunakan untuk membantu mendukung proses penyelidikan internal, yang pada gilirannya memverifikasi akses, daya tahan, atau performa. Bagian yang dibagikan diekspor ke daftar klien yang hanya dapat diakses oleh alamat IP instance, menggunakan setelan yang sama seperti yang ditunjukkan di bagian sebelumnya. Berbagi dapat diakses oleh pemeriksa yang dihosting di atau berasal dari instance saja dan tidak dapat diakses di luar instance. Instance mengekspor berbagi, terlepas dari apakah kontrol akses berbasis IP diterapkan atau tidak. Pengguna dapat melihat hasil ekspor yang dibagikan menggunakan perintah showmount -e.

Kontrol akses berbasis IP

Anda dapat mengubah setelan ekspor ini dengan membuat aturan kontrol akses menggunakan konsol Google Cloud atau dengan menentukan file konfigurasi JSON selama pembuatan instance menggunakan gcloud CLI. Untuk mengetahui detailnya, lihat Mengonfigurasi kontrol akses berbasis IP.

Anda juga dapat menambahkan aturan kontrol akses baru atau mengubah aturan yang ada setelah instance dibuat. Untuk mengetahui detailnya, lihat Mengedit instance.

Izin berbagi file

Saat Anda membuat instance Filestore, berbagi file untuk instance tersebut memiliki izin file POSIX default rwxr-xr-x. Izin ini berarti bahwa di instance Filestore, hanya pengguna root di klien yang terhubung yang memiliki akses baca dan tulis ke berbagi file. Pengguna lain hanya memiliki akses baca secara default. Pengguna root klien dapat mengubah izin dan pemilik.

Mengonfigurasi akses pada berbagi file

Saat memasang berbagi file, Anda dapat menggunakan opsi pemasangan dan setelan /etc/fstab untuk menentukan apakah berbagi file dapat ditulis dan apakah file dapat dieksekusi di dalamnya. Setelah memasang berbagi file, Anda dapat menggunakan perintah Linux standar seperti chmod dan setfacl untuk menyetel izin file dan berbagi file. Hanya paket dasar yang mendukung setfacl.

Menetapkan izin yang konsisten

Sebaiknya Anda menetapkan izin yang konsisten untuk setiap pengguna di semua klien yang terhubung ke instance Filestore yang sama untuk mencegah eskalasi hak istimewa. Jika berbagi file di-mount di lebih dari satu klien dan pengguna memiliki hak istimewa root di satu klien, tetapi tidak di klien lainnya, maka skenario eskalasi hak istimewa berikut dapat terjadi:

• Pengguna menetapkan atribut setuid pada file yang dapat dieksekusi dari klien tempat pengguna memiliki akses root.
• Kemudian, pengguna mengupload file yang dapat dieksekusi ke berbagi file.
• Pengguna menjalankan file yang diupload sebagai root di klien mana pun tempat pengguna memiliki setidaknya izin baca.

Skenario ini dapat terjadi karena bit setuid memungkinkan pengguna menjalankan file menggunakan izin akses pemilik file, yang dalam hal ini adalah root.

Izin yang tumpang-tindih

Instance zonal, regional, dan enterprise kini mendukung izin yang tumpang-tindih.

Jika dua aturan kontrol akses terpisah ditentukan untuk subnet alamat IP yang tumpang-tindih, aturan yang ditentukan untuk subnet yang lebih kecil akan diprioritaskan.

Misalnya, jika file konfigurasi JSON berisi aturan yang memberikan akses baca dan tulis untuk subnet alamat IPv4 10.0.0.0/24, dan aturan terpisah memberikan akses hanya baca untuk subnet alamat IPv4 10.0.0.0/28, Filestore akan mengenali dan menerapkan aturan untuk subnet yang lebih kecil terlebih dahulu. Aturan lainnya kemudian diterapkan ke bagian alamat IP subnet yang tersisa. Dalam contoh ini, klien yang menggunakan alamat IPv4 10.0.0.20 diberi izin baca dan tulis, sedangkan klien yang menggunakan 10.0.0.12 diberi izin hanya baca:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/24"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "10.0.0.0/28"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}

Beberapa batasan berlaku:

• Izin yang tumpang-tindih untuk subnet IPv4 yang identik tidak didukung dan akan menampilkan error.

• Izin yang tumpang-tindih tidak didukung untuk instance SSD dasar atau HDD dasar.

Langkah berikutnya

• Konfigurasi kontrol akses berbasis IP atau lihat contoh.
• Membuat instance.
• Mengedit instance.
• Memecahkan masalah umum jaringan atau koneksi Filestore.