Questa pagina descrive come utilizzare i gruppi di identità nelle regole in entrata e in uscita per consentire l'accesso alle risorse protette dai perimetri di servizio.
I Controlli di servizio VPC utilizzano regole in entrata e in uscita per consentire l'accesso alle risorse e ai client (nonché dalle risorse e dai client) protetti dai perimetri di servizio. Per perfezionare ulteriormente l'accesso, puoi specificare i gruppi di identità nelle regole in entrata e in uscita.
Un gruppo di identità è un modo conveniente per applicare controlli dell'accesso a un insieme di utenti e consente di gestire le identità che hanno policy di accesso simili.
Per configurare i gruppi di identità nelle regole in entrata o in uscita, puoi utilizzare i seguenti gruppi di identità supportati nell'attributo identities:
- Gruppo Google
Identità di terze parti, ad esempio utenti del pool della forza lavoro e identità del workload.
Controlli di servizio VPC non supporta Workload Identity Federation for GKE.
Per informazioni su come applicare le policy per le regole in entrata e in uscita, vedi Configurazione delle policy in entrata e in uscita.
Prima di iniziare
- Assicurati di leggere le regole in entrata e in uscita.
Configura i gruppi di identità nelle regole in entrata
Console
Quando aggiorni una policy in entrata di un perimetro di servizio o imposti una policy in entrata durante la creazione del perimetro utilizzando la console Google Cloud , puoi configurare la regola in entrata in modo che utilizzi i gruppi di identità.
Quando crei o modifichi un perimetro nella console Google Cloud , seleziona Policy in entrata.
Nella sezione Da della policy in entrata, seleziona Seleziona identità e gruppi dall'elenco Identità.
Fai clic su Aggiungi identità.
Nel riquadro Aggiungi identità, specifica un gruppo Google o un'identità di terze parti a cui fornire l'accesso alle risorse nel perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Gruppi di identità supportati.
Fai clic su Aggiungi identità.
Fai clic su Salva.
Per informazioni sugli altri attributi delle regole di entrata, consulta Riferimento per le regole in entrata.
gcloud
Per configurare una regola in entrata in modo che utilizzi i gruppi di identità, usa un file JSON o YAML. L'esempio seguente utilizza il formato YAML:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Sostituisci quanto segue:
PRINCIPAL_IDENTIFIER: specifica un gruppo Google o un'identità di terze parti a cui fornire l'accesso alle risorse nel perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Gruppi di identità supportati.
Per informazioni sugli altri attributi delle regole di entrata, consulta Riferimento per le regole in entrata.
Dopo aver aggiornato una regola in entrata esistente per configurare i gruppi di identità, devi aggiornare le policy della regola del perimetro di servizio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro di servizio da aggiornare.RULE_POLICY: il percorso del file della regola in entrata modificata.
Per saperne di più, consulta Aggiornamento delle policy in entrata e in uscita per un perimetro di servizio.
Configura i gruppi di identità nelle regole in uscita
Console
Quando aggiorni una policy in uscita di un perimetro di servizio o imposti una policy in uscita durante la creazione del perimetro utilizzando la console Google Cloud , puoi configurare la regola in uscita in modo che utilizzi i gruppi di identità.
Quando crei o modifichi un perimetro nella console Google Cloud , seleziona Policy in uscita.
Nella sezione Da della policy in uscita, seleziona Seleziona identità e gruppi dall'elenco Identità.
Fai clic su Aggiungi identità.
Nel riquadro Aggiungi identità, specifica un gruppo Google o un'identità di terze parti che può accedere alle risorse specificate al di fuori del perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Gruppi di identità supportati.
Fai clic su Aggiungi identità.
Fai clic su Salva.
Per informazioni sugli altri attributi delle regole in uscita, consulta Riferimento per le regole in uscita.
gcloud
Per configurare una regola in uscita in modo che utilizzi i gruppi di identità, usa un file JSON o YAML. L'esempio seguente utilizza il formato YAML:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Sostituisci quanto segue:
PRINCIPAL_IDENTIFIER: specifica un gruppo Google o un'identità di terze parti che può accedere alle risorse specificate al di fuori del perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Gruppi di identità supportati.
Per informazioni sugli altri attributi delle regole in uscita, consulta Riferimento per le regole in uscita.
Dopo aver aggiornato una regola in uscita esistente per configurare i gruppi di identità, devi aggiornare le policy della regola del perimetro di servizio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro di servizio da aggiornare.RULE_POLICY: il percorso del file della regola in uscita modificata.
Per saperne di più, consulta Aggiornamento delle policy in entrata e in uscita per un perimetro di servizio.
Gruppi di identità supportati
I Controlli di servizio VPC supportano i seguenti gruppi di identità dagli
identificatori delle entità API IAM v1:
| Tipo di entità | Identificatore |
|---|---|
| Gruppo | group:GROUP_EMAIL_ADDRESS |
| Singola identità in un pool di identità della forza lavoro | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Tutte le identità della forza lavoro in un gruppo | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
| Tutte le identità della forza lavoro con un valore di attributo specifico | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Tutte le identità in un pool di identità della forza lavoro | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
| Singola identità in un pool di identità del workload | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Gruppo di pool di identità del workload | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
| Tutte le identità in un pool di identità del workload con un determinato attributo | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Tutte le identità in un pool di identità del workload | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
Per ulteriori informazioni su queste identità, consulta Identificatori delle entità per le policy di autorizzazione.
Limitazioni
- Prima di utilizzare i gruppi di identità, devi conoscere le funzionalità non supportate nelle regole in entrata e in uscita.
- Quando utilizzi i gruppi di identità in una regola in uscita, non puoi impostare il campo
resourcesnell'attributoegressTosu"*". - Non puoi utilizzare un'identità del workload nelle regole in entrata e in uscita per consentire le operazioni dell'interfaccia web di Apache Airflow in Cloud Composer. Tuttavia, puoi utilizzare il tipo di identità
ANY_IDENTITYnelle regole in entrata e in uscita per consentire l'accesso a tutte le identità, incluse quelle dei workload. Per ulteriori informazioni sul tipo di identitàANY_IDENTITY, consulta Regole in entrata e in uscita. - Per informazioni sui limiti delle regole in entrata e in uscita, consulta Quote e limiti.