Halaman ini menjelaskan cara menggunakan grup identitas dalam aturan ingress dan egress untuk mengizinkan akses ke resource yang dilindungi oleh perimeter layanan.
Kontrol Layanan VPC menggunakan aturan ingress dan egress untuk mengizinkan akses ke dan dari resource serta klien yang dilindungi oleh perimeter layanan. Untuk meningkatkan ketepatan akses, Anda dapat menentukan grup identitas dalam aturan ingress dan egress.
Grup identitas merupakan cara praktis untuk menerapkan kontrol akses ke sekumpulan pengguna dan memungkinkan Anda mengelola identitas yang memiliki kebijakan akses serupa.
Untuk mengonfigurasi grup identitas dalam aturan ingress atau egress, Anda dapat menggunakan grup identitas yang didukung berikut dalam atribut identities:
- Grup Google
Identitas pihak ketiga, seperti pengguna pool workforce dan workload identity.
Kontrol Layanan VPC tidak mendukung Workload Identity Federation for GKE.
Untuk memahami cara menerapkan kebijakan aturan ingress dan egress, lihat Mengonfigurasi kebijakan ingress dan egress.
Sebelum memulai
- Pastikan Anda membaca Aturan ingress dan egress.
Mengonfigurasi grup identitas dalam aturan ingress
Konsol
Saat memperbarui kebijakan ingress perimeter layanan atau menetapkan kebijakan ingress selama pembuatan perimeter melalui Konsol Google Cloud , Anda dapat mengonfigurasi aturan ingress untuk menggunakan grup identitas.
Saat Anda membuat perimeter atau mengedit perimeter di Konsol Google Cloud , pilih Ingress policy.
Di bagian From pada kebijakan ingress Anda, pilih Select identities & groups dari daftar Identities.
Klik Add identities.
Di panel Add identities, tetapkan grup Google atau identitas pihak ketiga yang ingin Anda beri akses ke resource dalam perimeter. Untuk menetapkan grup identitas, gunakan format yang ditentukan di Grup identitas yang didukung.
Klik Add identities.
Klik Save.
Untuk mengetahui informasi tentang atribut aturan ingress lainnya, lihat Referensi aturan ingress.
gcloud
Anda dapat mengonfigurasi aturan ingress dengan file JSON atau YAML untuk menggunakan grup identitas. Contoh berikut menggunakan format YAML:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Ganti kode berikut:
PRINCIPAL_IDENTIFIER: menetapkan grup Google atau identitas pihak ketiga yang ingin Anda beri akses ke resource dalam perimeter. Untuk menetapkan grup identitas, gunakan format yang ditentukan di Grup identitas yang didukung.
Untuk mengetahui informasi tentang atribut aturan ingress lainnya, lihat Referensi aturan ingress.
Setelah memperbarui aturan ingress yang ada untuk mengonfigurasi grup identitas, Anda harus memperbarui kebijakan aturan perimeter layanan:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Ganti kode berikut:
PERIMETER_ID: ID perimeter layanan yang ingin Anda perbarui.RULE_POLICY: jalur file aturan ingress yang diubah.
Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan.
Mengonfigurasi grup identitas dalam aturan egress
Konsol
Saat memperbarui kebijakan egress perimeter layanan atau menetapkan kebijakan egress selama pembuatan perimeter melalui Konsol Google Cloud , Anda dapat mengonfigurasi aturan egress untuk menggunakan grup identitas.
Saat Anda membuat perimeter atau mengedit perimeter di Konsol Google Cloud , pilih Egress policy.
Di bagian From pada kebijakan egress Anda, pilih Select identities & groups dari daftar Identities.
Klik Add identities.
Di panel Add identities, tetapkan grup Google atau identitas pihak ketiga yang dapat mengakses resource yang ditentukan di luar perimeter. Untuk menetapkan grup identitas, gunakan format yang ditentukan di Grup identitas yang didukung.
Klik Add identities.
Klik Save.
Untuk mengetahui informasi tentang atribut aturan egress lainnya, lihat Referensi aturan egress.
gcloud
Anda dapat mengonfigurasi aturan egress dengan file JSON atau YAML untuk menggunakan grup identitas. Contoh berikut menggunakan format YAML:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Ganti kode berikut:
PRINCIPAL_IDENTIFIER: menetapkan grup Google atau identitas pihak ketiga yang dapat mengakses resource yang ditentukan di luar perimeter. Untuk menetapkan grup identitas, gunakan format yang ditentukan di Grup identitas yang didukung.
Untuk mengetahui informasi tentang atribut aturan egress lainnya, lihat Referensi aturan egress.
Setelah memperbarui aturan egress yang ada untuk mengonfigurasi grup identitas, Anda perlu memperbarui kebijakan aturan perimeter layanan:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Ganti kode berikut:
PERIMETER_ID: ID perimeter layanan yang ingin Anda perbarui.RULE_POLICY: jalur file aturan egress yang diubah.
Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan.
Grup identitas yang didukung
Kontrol Layanan VPC mendukung grup identitas berikut dari ID Principal API v1 IAM:
| Jenis principal | ID |
|---|---|
| Grup | group:GROUP_EMAIL_ADDRESS |
| Identitas tunggal dalam workforce identity pool | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Semua workforce identity dalam sebuah grup | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
| Semua workforce identity dengan nilai atribut tertentu | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Semua identitas dalam workforce identity pool | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
| Identitas tunggal dalam workload identity pool | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Grup workload identity pool | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
| Semua identitas dalam workload identity pool dengan atribut tertentu | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Semua identitas dalam workload identity pool | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
Untuk mengetahui informasi selengkapnya tentang identitas ini, lihat ID principal untuk kebijakan izin.
Batasan
- Sebelum menggunakan grup identitas, pahami fitur yang tidak didukung dalam aturan ingress dan egress.
- Saat menggunakan grup identitas dalam aturan egress, Anda tidak dapat menetapkan kolom
resourcesdi atributegressToke"*". - Anda tidak dapat menggunakan workload identity dalam aturan ingress dan egress untuk mengizinkan operasi antarmuka web Apache Airflow di Cloud Composer. Namun, Anda dapat menggunakan jenis identitas
ANY_IDENTITYdalam aturan ingress dan egress untuk mengizinkan akses ke semua identitas, termasuk workload identity. Untuk mengetahui informasi selengkapnya tentang jenis identitasANY_IDENTITY, lihat Aturan ingress dan egress. - Untuk mengetahui informasi tentang batasan aturan ingress dan egress, lihat Kuota dan batasan.