הגדרת קבוצות זהויות וזהויות מצד שלישי בכללים לתעבורת נתונים נכנסת ויוצאת

בדף הזה מוסבר איך להשתמש בקבוצות זהויות בכללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) כדי לאפשר גישה למשאבים שמוגנים על ידי גבולות גזרה לשירותים.

מערכת VPC Service Controls משתמשת בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) כדי לאפשר גישה למשאבים וללקוחות שמוגנים על ידי גבולות גזרה לשירות, וממשאבים וללקוחות שמוגנים על ידי גבולות גזרה לשירות. כדי לצמצם עוד יותר את הגישה, אפשר לציין קבוצות זהויות בכללי תעבורת הנתונים הנכנסת (ingress) ותעבורת הנתונים היוצאת (egress).

קבוצת זהויות היא דרך נוחה להחיל בקרת גישה על אוסף של משתמשים, והיא מאפשרת לכם לנהל זהויות שיש להן מדיניות גישה דומה.

כדי להגדיר קבוצות זהויות בכללי תעבורת הנתונים הנכנסת (ingress) או תעבורת הנתונים היוצאת (egress), אפשר להשתמש בקבוצות הזהויות הנתמכות הבאות במאפיין identities:

מידע על הפורמטים של מזהי ישויות מורשות של קבוצות זהויות נתמכות מופיע במאמר זהויות נתמכות לכללי תעבורת נתונים נכנסת ויוצאת.

מידע על החלת כללי מדיניות לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) זמין במאמר בנושא הגדרת כללי מדיניות לתעבורת נתונים נכנסת ויוצאת.

לפני שמתחילים

הגדרת קבוצות זהויות בכללי Ingress

המסוף

כשמעדכנים מדיניות כניסה של גבולות גזרה לשירות או מגדירים מדיניות כניסה במהלך יצירת גבולות גזרה באמצעות מסוף Google Cloud , אפשר להגדיר את כלל הכניסה כך שישתמש בקבוצות זהויות.

  1. כשיוצרים או עורכים גבולות גזרה ב Google Cloud מסוף, בוחרים באפשרות מדיניות כניסה.

  2. בקטע From במדיניות הכניסה, בוחרים באפשרות Select identities & groups (בחירת זהויות וקבוצות) מהרשימה Identities (זהויות).

  3. לוחצים על הוספת זהויות.

  4. בחלונית הוספת זהויות, מציינים קבוצה ב-Google או זהות של צד שלישי שרוצים לתת לה גישה למשאבים בגבולות הגזרה. כדי לציין קבוצת זהויות, צריך להשתמש בפורמט שמופיע במאמר זהויות נתמכות.

  5. לוחצים על הוספת זהויות.

  6. לוחצים על Save.

מידע על מאפיינים אחרים של כללי תעבורה נכנסת מופיע במאמר חומר עזר בנושא כללי תעבורה נכנסת.

gcloud

אפשר להגדיר כלל כניסה לשימוש בקבוצות זהויות באמצעות קובץ JSON או קובץ YAML. בדוגמה הבאה נעשה שימוש בפורמט YAML:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

  • PRINCIPAL_IDENTIFIER: מציינים קבוצת Google או זהות של צד שלישי שרוצים להעניק לה גישה למשאבים בטווח. כדי לציין קבוצת זהויות, צריך להשתמש בפורמט שמופיע במאמר זהויות נתמכות.

מידע על מאפיינים אחרים של כללי תעבורה נכנסת מופיע במאמר חומר עזר בנושא כללי תעבורה נכנסת.

אחרי שמעדכנים כלל קיים של תעבורת נתונים נכנסת (ingress) כדי להגדיר קבוצות זהויות, צריך לעדכן את כללי המדיניות של גבולות הגזרה לשירות:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID: המזהה של גבולות הגזרה לשירות שרוצים לעדכן.
  • RULE_POLICY: הנתיב של קובץ כלל הכניסה ששוּנה.

מידע נוסף זמין במאמר עדכון מדיניות הכניסה והיציאה של היקף שירות.

הגדרת קבוצות זהויות בכללי יציאה

המסוף

כשמעדכנים מדיניות יציאה של גבול גזרה לשירות או מגדירים מדיניות יציאה במהלך יצירת גבול גזרה באמצעות המסוף Google Cloud , אפשר להגדיר את כלל היציאה כך שישתמש בקבוצות זהויות.

  1. כשיוצרים או עורכים גבולות גזרה ב Google Cloud מסוף, בוחרים באפשרות מדיניות יציאה.

  2. בקטע מ במדיניות תעבורת נתונים יוצאת (egress), בוחרים באפשרות בחירת זהויות וקבוצות מהרשימה זהויות.

  3. לוחצים על הוספת זהויות.

  4. בחלונית הוספת זהויות, מציינים קבוצה ב-Google או זהות של צד שלישי שיכולה לגשת למשאבים שצוינו מחוץ לגבולות גזרה. כדי לציין קבוצת זהויות, צריך להשתמש בפורמט שמופיע במאמר זהויות נתמכות.

  5. לוחצים על הוספת זהויות.

  6. לוחצים על Save.

מידע על מאפיינים אחרים של כללי יציאה מופיע במאמר הפניה לכללי יציאה.

gcloud

אפשר להגדיר כלל יציאה לשימוש בקבוצות זהויות באמצעות קובץ JSON או קובץ YAML. בדוגמה הבאה נעשה שימוש בפורמט YAML:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

מחליפים את מה שכתוב בשדות הבאים:

  • PRINCIPAL_IDENTIFIER: מציינים קבוצת Google או זהות של צד שלישי שיכולה לגשת למשאבים שצוינו מחוץ לגבולות גזרה. כדי לציין קבוצת זהויות, צריך להשתמש בפורמט שמופיע במאמר זהויות נתמכות.

מידע על מאפיינים אחרים של כללי יציאה מופיע במאמר הפניה לכללי יציאה.

אחרי שמעדכנים כלל יציאה קיים כדי להגדיר קבוצות זהויות, צריך לעדכן את מדיניות הכללים של גבולות גזרה לשירות:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

מחליפים את מה שכתוב בשדות הבאים:

  • PERIMETER_ID: המזהה של גבולות הגזרה לשירות שרוצים לעדכן.
  • RULE_POLICY: הנתיב של קובץ כלל היציאה ששוּנה.

מידע נוסף זמין במאמר עדכון מדיניות הכניסה והיציאה של היקף שירות.

מגבלות

  • לפני שמשתמשים בקבוצות זהויות, חשוב להבין את התכונות שלא נתמכות בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress).
  • כשמשתמשים בקבוצות זהויות בכלל יציאה, אי אפשר להגדיר את השדה resources במאפיין egressTo לערך "*".
  • אי אפשר להשתמש ב-Workload Identity בכללי כניסה ויציאה כדי לאפשר פעולות בממשק האינטרנט של Apache Airflow ב-Cloud Composer. עם זאת, אפשר להשתמש בANY_IDENTITYסוג הזהות בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) כדי לאפשר גישה לכל הזהויות, כולל זהויות של עומסי עבודה. מידע נוסף על סוג הזהות ANY_IDENTITYזמין במאמר כללי תעבורה נכנסת ויוצאת.
  • מידע על מגבלות של כללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) זמין במאמר מכסות ומגבלות.

המאמרים הבאים