Richtlinien mit Dienstkonten erstellen

Ein Dienstkonto ist ein spezielles Google-Konto, das nicht mit einer Person verknüpft ist und von Anwendungen, automatisierten Prozessen oder Compute-Arbeitslasten wie einer Compute Engine-Instanz, für autorisierte API-Aufrufe verwendet wird. Im Gegensatz zu Nutzerkonten wird ein Dienstkonto nur durch seine eindeutige E-Mail-Adresse identifiziert.

Anwendungen verwenden Dienstkonten, um sich zu authentifizieren und Zugriff auf Google Cloud Ressourcen zu erhalten. Wenn sich eine Anwendung mit einem Dienstkonto authentifiziert, erhält sie Zugriff auf die Ressourcen, für die dem Dienstkonto explizite Identity and Access Management-Berechtigungen zugewiesen wurden. Dies bietet eine sichere, prüfbare und zentralisierte Methode für die Autorisierung zwischen Maschinen.

Für Secure Web Proxy spielen Dienstkonten eine entscheidende Rolle bei der Autorisierung und der Erzwingung von Richtlinien. Wenn Sie ein Dienstkonto verwenden, um die Traffic-Quelle einer Arbeitslast zu identifizieren, können Sie detaillierte Secure Web Proxy-Richtlinien erstellen, mit denen Webtraffic basierend auf der Identität der Anwendung und nicht nur auf ihrer IP-Adresse zugelassen oder abgelehnt wird.

Diese Seite enthält Anleitungen für Folgendes:

Hinweis

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Wenn Sie eine Secure Web Proxy-Instanz erstellen möchten, müssen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy erstellen, der die Richtlinie verwendet.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien zum Löschen von Dienstdaten.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein, z. B. myswppolicy.

  4. Geben Sie im Feld Beschreibung eine Beschreibung für die Richtlinie ein, z. B. My new swp policy.

  5. Wählen Sie unter Regionen die Region aus, in der Sie die Richtlinie erstellen möchten, z. B. us-central1.

  6. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine policy.yaml-Datei.

  2. Fügen Sie der erstellten policy.yaml-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts

    • REGION: Region, in der Ihre Richtlinie erstellt wird, z. B. us-central1

    • POLICY_NAME: Name Ihrer Richtlinie

    • POLICY_DESCRIPTION: Beschreibung Ihrer Richtlinie

  3. Importieren Sie die Sicherheitsrichtlinie mit dem gcloud network-security gateway-security-policies import Befehl:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Web-Proxy erstellen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Web-Proxys.

    Zu den Web-Proxys

  2. Klicken Sie auf Sicheren Web-Proxy erstellen.

  3. Geben Sie im Feld Name einen Namen für den Web-Proxy ein, z. B. myswp.

  4. Geben Sie im Feld Beschreibung eine Beschreibung für den Web-Proxy ein, z. B. My new swp.

  5. Wählen Sie unter Routingmodus eine der folgenden Optionen aus:

    • Explizit: Stellt Ihre Secure Web Proxy Instanz im expliziten Proxymodus bereit.
    • Nächster Hop: Stellt Ihre Secure Web Proxy Instanz im Modus „Nächster Hop“ bereit.

  6. Wählen Sie unter Regionen die Region aus, in der Sie den Web-Proxy erstellen möchten, z. B. us-central1.

  7. Wählen Sie unter Netzwerk das Netzwerk aus, in dem Sie den Web-Proxy erstellen möchten.

  8. Wählen Sie unter Subnetzwerk das VPC-Subnetz aus, das Sie bei der Ersteinrichtung erstellt haben.

  9. Optional: Geben Sie im Feld IP-Adresse des Web-Proxys die IP-Adresse des sicheren Web-Proxys ein.

    Sie können eine IP-Adresse aus dem Bereich der Secure Web Proxy-IP-Adressen eingeben, die sich im Subnetz befinden, das Sie im vorherigen Schritt erstellt haben. Wenn Sie die IP-Adresse nicht eingeben, wählt Ihre Secure Web Proxy-Instanz automatisch eine IP-Adresse aus dem ausgewählten Subnetz aus.

  10. Wählen Sie unter Zertifikat das Zertifikat aus, mit dem Sie den Web-Proxy erstellen möchten.

  11. Wählen Sie unter Richtlinie die Richtlinie aus, die Sie zum Verknüpfen mit dem Web-Proxy erstellt haben.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine gateway.yaml-Datei.

  2. Fügen Sie der Datei gateway.yaml Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
routingMode: ROUTING_MODE
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: Name dieser Secure Web Proxy-Instanz

    • GATEWAY_PORT_NUMBERS: Liste der Portnummern für dieses Gateway, z. B. [80,443]

    • CERTIFICATE_URLS: Liste der SSL-Zertifikat-URLs

    • SUBNETWORK: VPC Subnetz , das Sie bei der Ersteinrichtung erstellt haben

    • ROUTING_MODE: Geben Sie den erforderlichen Web-Proxy-Routingmodus an:

      • EXPLICIT_ROUTING_MODE: Stellt Ihre Secure Web Proxy-Instanz im expliziten Proxymodus bereit
      • NEXT_HOP_ROUTING_MODE: Stellt Ihre Secure Web Proxy-Instanz im Modus „Nächster Hop“ bereit

    • GATEWAY_IP_ADDRESS: Optionale Liste der IP Adressen für Ihre Secure Web Proxy-Instanzen in den Proxy Subnetzen, die Sie zuvor bei der Ersteinrichtung erstellt haben

      Wenn Sie keine IP-Adressen auflisten möchten, lassen Sie das Feld leer, damit der Web-Proxy eine IP-Adresse für Sie auswählen kann.

  3. Erstellen Sie die Secure Web Proxy-Instanz mit dem gcloud network-services gateways import Befehl:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=gateway.yaml \
    --location=REGION

Verbindung testen

Verwenden Sie den Befehl curl von einer beliebigen VM-Instanz (virtuelle Maschine) in Ihrem VPC-Netzwerk (Virtual Private Cloud), um die Verbindung zu testen:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Wenn alles korrekt funktioniert, gibt Ihre Secure Web Proxy-Instanz den Statuscode 403 Forbidden zurück. Dieser Fehler bestätigt Folgendes:

  • Die Secure Web Proxy-Instanz wurde erfolgreich bereitgestellt und empfängt aktiv Traffic.

  • Die Secure Web Proxy-Richtlinie erzwingt korrekt den Standardsicherheitsstatus, bei dem der gesamte Traffic abgelehnt wird, bis Sie in den nächsten Abschnitten bestimmte allow-Regeln definieren.

Dienstkonto erstellen und IAM-Rollen zuweisen

  1. Dienstkonto erstellen: Verwenden Sie den gcloud iam service-accounts create Befehl , um in Ihrem Google Cloud Projekt ein Dienstkonto mit dem Namen my-swp-sa zu erstellen.

    gcloud iam service-accounts create my-swp-sa \
    --display-name="Secure Web Proxy service account" \
    --description="Service account for Secure Web Proxy instances"

  2. Weisen Sie dem Dienstkonto IAM-Rollen zu: Verwenden Sie den gcloud projects add-iam-policy-binding Befehl , um dem Dienstkonto die erforderlichen IAM -Rollen zuzuweisen, damit es Ressourcen in Ihrem Google Cloud Projekt verwalten oder verwenden kann.

    Wenn Sie beispielsweise dem Dienstkonto die Verwendung von Netzwerkressourcen erlauben möchten, weisen Sie ihm die Rolle „Compute-Netzwerknutzer “ (roles/compute.networkUser) zu.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:my-swp-sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/compute.networkUser"

    Ersetzen Sie PROJECT_ID durch die ID Ihres Google Cloud Projekts.

Secure Web Proxy-Regel erstellen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien zum Löschen von Dienstdaten.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf den Namen der zuvor erstellten Richtlinie, z. B. myswppolicy.

  3. Klicken Sie auf Regel hinzufügen.

  4. Führen Sie für jede Regel die folgenden Schritte aus:

    1. Geben Sie im Feld Priorität eine numerische Auswertungsreihenfolge für die Regel ein. Regeln werden von der höchsten zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.

    2. Geben Sie im Feld Name einen Namen für die Regel ein.

    3. Geben Sie im Feld Beschreibung eine Beschreibung für die Regel ein.

    4. Wählen Sie unter Aktion eine der folgenden Optionen aus:

      • Zulassen: Verbindungsanfragen zulassen, die der Regel entsprechen.
      • Ablehnen: Verbindungsanfragen ablehnen, die der Regel entsprechen.

    5. Wählen Sie im Feld Status eine der folgenden Optionen für die Erzwingung der Regel aus:

      • Aktiviert: Die Regel für Ihre Secure Web Proxy Instanz erzwingen.
      • Deaktiviert: Die Regel für Ihre Secure Web Proxy Instanz nicht erzwingen.

    6. Geben Sie im Abschnitt Sitzungsübereinstimmung die E-Mail-Adresse des zuvor erstellten Dienstkontos an. Beispiel:

        sessionMatcher: "source.matchServiceAccount(SERVICE_ACCOUNT) && host() == 'example.com'"

      Weitere Informationen zur Syntax für SessionMatcher, finden Sie unter CEL-Matcher-Sprachreferenz.

    7. Geben Sie im Abschnitt Anwendungsübereinstimmung die Kriterien für den Abgleich der Anfrage an.

    8. Klicken Sie auf Regel hinzufügen.

  5. Wenn Sie eine weitere Regel hinzufügen möchten, klicken Sie auf Regel hinzufügen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei rule.yaml.

  2. Wenn Sie den Zugriff auf eine URL über das entsprechende Dienstkonto zulassen möchten, fügen Sie der erstellten Datei rule.yaml Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Ersetzen Sie Folgendes:

    • RULE_NAME: Name dieser Regel
    • RULE_DESCRIPTION: Beschreibung der Regel
    • RULE_PRIORITY: Priorität dieser Regel; eine niedrigere Zahl entspricht einer höheren Priorität
    • CEL_EXPRESSION: Ein CEL-Ausdruck (Common Expression Language). Weitere Informationen finden Sie unter CEL-Matcher-Sprachreferenz.

    Wenn Sie beispielsweise den Zugriff auf example.com über die Ressource mit dem erforderlichen Dienstkonto zulassen möchten, fügen Sie der für sessionMatcher erstellten YAML-Datei Folgendes hinzu:

    ```yaml
sessionMatcher: "source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'example.com'"
```

    Ersetzen Sie SERVICE_ACCOUNT durch das Dienstkonto, das Sie zulassen möchten. Dies muss die E-Mail-Adresse des Dienstkontos sein.

  3. Importieren Sie die erstellten Regeln mit dem gcloud network-security gateway-security-policies rules import Befehl:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
    --source=RULE_FILE.yaml \
    --location=REGION \
    --gateway-security-policy=POLICY_NAME

Verbindung testen

Sie können die Verbindung noch einmal testen, um zu prüfen, ob die gesamte Secure Web Proxy-Konfiguration, einschließlich des Dienstkontos, der Sicherheitsrichtlinienregeln und des Gateways, wie vorgesehen funktioniert.

Verwenden Sie den Befehl curl von der Ressource, z. B. einer VM-Instanz, mit dem angehängten SERVICE_ACCOUNT, um die Verbindung zu testen:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Ersetzen Sie IPv4_ADDRESS durch die IPv4-Adresse Ihrer Secure Web Proxy-Instanz.

Wenn alles korrekt funktioniert, erhalten Sie den Statuscode 200 OK. Dieser Statuscode bestätigt die folgenden wichtigen Ergebnisse:

  • Erfolgreiche Autorisierung: Er beweist, dass der Traffic von der Ressource korrekt durch das zugewiesene Dienstkonto identifiziert wird und dass diese Identität mit der allow Regel übereinstimmt, die Sie der Sicherheitsrichtlinie hinzugefügt haben.

  • End-to-End-Funktionalität: Er bestätigt, dass der Traffic korrekt über den konfigurierten Pfad fließt: von der Ressource > zur Secure Web Proxy-Instanz > über die Sicherheitsrichtlinie > zum externen Ziel.

Nächste Schritte