Regole in entrata e in uscita

Questa pagina spiega le regole in entrata e in uscita per i Controlli di servizio VPC. I Controlli di servizio VPC utilizzano regole in entrata e in uscita per consentire l'accesso alle risorse e ai client protetti dai perimetri di servizio.

I blocchi di regole in entra e in uscita specificano la direzione dell'accesso consentito a e da diverse identità e risorse. Le regole in entrata e in uscita possono sostituire e semplificare i casi d'uso che in precedenza richiedevano uno o più bridge del perimetro.

Per scoprire come applicare le policy in entrata e in uscita al perimetro di servizio, vedi Configurazione delle policy in entrata e in uscita.

Puoi configurare gruppi di identità e identità di terze parti e ruoli IAM (anteprima) nelle regole in entrata e in uscita.

Per un elenco di casi d'uso ed esempi di scambio sicuro dei dati, vedi Proteggi lo scambio di dati con regole in entrata e in uscita.

Per un elenco di casi d'uso ed esempi di accesso sensibile al contesto, vedi Accesso sensibile al contesto con regole in entrata.

Vantaggi delle regole in entrata e in uscita

1. Le regole in entrata e in uscita consentono di scambiare i dati in modo privato ed efficiente all'interno delle organizzazioni e tra le organizzazioni utilizzando le API di servizio Google Cloud .
2. Grazie alle regole in entrata e in uscita, puoi concedere l'accesso alle risorse Google Cloud in un perimetro in base al contesto della richiesta API:
   1. Limita i tipi di identità o le identità che possono essere utilizzate in base a una rete, un indirizzo IP o un dispositivo di origine.
   2. Limita le API e i metodi a cui è possibile accedere in base alla rete di origine, all'indirizzo IP, al dispositivo e al tipo di identità. Google Cloud
3. Riduci al minimo il rischio di esfiltrazione limitando con esattezza il servizio, i metodi, i progetti, le reti VPC e le identità utilizzati per eseguire lo scambio di dati.Google Cloud
4. Concedi l'accesso di sola lettura a immagini e set di dati esterni non gestiti da te.
5. Assicurati che i client in segmenti con meno privilegi non abbiano accesso alle risorseGoogle Cloud nei segmenti che hanno più privilegi, consentendo al contempo l'accesso nell'altra direzione.
6. Semplifica le configurazioni che in precedenza richiedevano uno o più bridge del perimetro.

Definizione di "in entrata" e "in uscita"

Le definizioni di "in entrata" e "in uscita" sono indipendenti dall'operazione richiamata sulla risorsa. Di conseguenza, le definizioni si riferiscono alla direzione della richiesta e non alla direzione dello spostamento dei dati.

• In entrata: si riferisce a qualsiasi accesso da parte di un client API dall'esterno del perimetro di servizio a risorse che si trovano all'interno di un perimetro di servizio. Esempio:

  • Un client Cloud Storage al di fuori di un perimetro di servizio che chiama operazioni di lettura, scrittura o copia di Cloud Storage su una risorsa Cloud Storage all'interno del perimetro.

• In uscita: si riferisce a qualsiasi accesso che coinvolge un client API o risorse all'interno del perimetro di servizio e risorse al di fuori di un perimetro di servizio. Esempi:

  • Un client Compute Engine all'interno di un perimetro di servizio di chiamare un'operazione create di Compute Engine in cui la risorsa immagine si trova all'esterno del perimetro.
  • Un client Cloud Storage (all'interno o all'esterno del perimetro) che chiama un comando copy nello scenario in cui un bucket si trova all'interno del perimetro, mentre l'altro bucket si trova all'esterno.

Modello di policy

Una regola in entrata o in uscita è costituita da blocchi from e to, dove:

• from fa riferimento agli attributi del client API.
• to fa riferimento agli attributi di servizi e risorse Google Cloud .

A un perimetro di servizio possono essere associate più regole in entrata e in uscita. Una chiamata di servizioGoogle Cloud è consentita o negata in base alla seguente semantica:

• Una richiesta da un client al di fuori del perimetro a una risorsa Google Cloud all'interno del perimetro è consentita se vengono soddisfatte le condizioni necessarie della regola in entrata.
• Una richiesta da un client all'interno del perimetro a una risorsa Google Cloud al di fuori del perimetro è consentita se vengono soddisfatte le condizioni necessarie della regola in uscita.
• Una chiamata API che riguarda una risorsa Google Cloud all'interno del perimetro e una risorsa Google Cloud all'esterno del perimetro è consentita se esiste una regola in entrata che il client soddisfa (se il client non si trova all'interno del perimetro) e una regola in uscita che la risorsa esterna soddisfa.

Esempi di richieste API consentite dalle regole in entrata

• Un client Cloud Storage al di fuori del perimetro che scarica oggetti da un bucket Cloud Storage all'interno del perimetro nella macchina locale (ad esempio utilizzando il comando gcloud storage cp).
• Un client BigQuery al di fuori del perimetro che utilizza un job BigQuery in un progetto all'interno del perimetro per eseguire query su un set di dati BigQuery all'interno del perimetro (ad esempio utilizzando il comando bq query).
• Una VM di Compute Engine in una rete VPC al di fuori del perimetro e che scrive in un bucket Cloud Storage all'interno del perimetro.

Esempi di richieste API consentite dalle regole in uscita

• Un client Cloud Storage all'interno del perimetro che copia oggetti tra un bucket Cloud Storage all'esterno del perimetro e un bucket all'interno del perimetro (ad esempio utilizzando il comando gcloud storage cp).

• Un client BigQuery all'interno del perimetro che utilizza un job BigQuery in un progetto al di fuori del perimetro per eseguire query su un set di dati BigQuery all'interno del perimetro (ad esempio utilizzando il comando bq query).

Esempi di richieste API consentite dalla combinazione di regole in entrata e in uscita

• Un client Cloud Storage al di fuori del perimetro che copia oggetti tra un bucket Cloud Storage al di fuori del perimetro e un bucket all'interno del perimetro (ad esempio utilizzando il comando gcloud storage cp).
• Un client BigQuery al di fuori del perimetro che utilizza un job BigQuery in un progetto all'esterno del perimetro per eseguire query su un set di dati BigQuery all'interno del perimetro (ad esempio utilizzando il comando bq query).
• Un client Compute Engine al di fuori del perimetro che crea un disco Compute Engine anch'esso al di fuori del perimetro utilizzando una chiave Cloud KMS all'interno del perimetro.

Negli esempi di BigQuery e Compute Engine, una regola in entrata non è sufficiente, perché il job BigQuery o il disco Compute Engine si trova al di fuori del perimetro. È necessaria una regola in uscita per consentire una richiesta API che riguarda una risorsa Google Cloud all'interno del perimetro (il set di dati BigQuery o la chiave Cloud KMS) e una risorsa al di fuori del perimetro (il job BigQuery o il disco Compute Engine).

Richieste API che coinvolgono più perimetri di servizio

Quando le risorse a cui si accede e/o il client API appartengono a perimetri di servizio diversi, le policy di tutti i perimetri coinvolti devono consentire la richiesta API. Prendiamo come esempio un client Cloud Storage e un bucket a all'interno di un perimetro di servizio A e un bucket b all'interno di un perimetro di servizio B. In questo esempio, affinché il client Cloud Storage possa copiare gli oggetti dal bucket a al bucket b e dal bucket b al bucket a, sono necessarie le seguenti regole in entrata e in uscita:

• Una regola in uscita nel perimetro A per consentire l'accesso al bucket Cloud Storage b.
• Una regola in uscita nel perimetro B per consentire l'accesso al bucket Cloud Storage a.
• Una regola in entrata nel perimetro B per consentire l'accesso al client Cloud Storage che si trova al di fuori del perimetro B.

Riferimento alle regole in entrata

Le regole in entrata possono essere configurate utilizzando la console Google Cloud , un file JSON o un file YAML. L'esempio seguente utilizza il formato .yaml:

- ingressFrom:
    identityType: ANY_IDENTITY | ANY_USER_ACCOUNT | ANY_SERVICE_ACCOUNT
    *OR*
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE
      methodSelectors:
      - method: METHOD
      *OR*
      - permission: PERMISSION
    *OR*
    roles:
    - ROLE_NAME
    resources:
    - projects/PROJECT
  title: TITLE

• - ingressFrom: (obbligatorio) inizia il blocco from che elenca le origini e le identità consentite al di fuori del perimetro.

• identityType: (deve essere utilizzato questo attributo o l'attributo identities) questo attributo definisce i tipi di identità che possono essere utilizzati dal valore sources (origine di rete) specificato. Valori accettati: ANY_IDENTITY, ANY_USER_ACCOUNT, ANY_SERVICE_ACCOUNT. ANY_IDENTITY consente le richieste di tutte le identità, incluse quelle non autenticate. ANY_USER_ACCOUNT consente tutti gli utenti e ANY_SERVICE_ACCOUNT tutti i service account, ma sia ANY_USER_ACCOUNT che ANY_SERVICE_ACCOUNT non consentono richieste non autenticate.

  Questo attributo non limita le identità in base all'organizzazione. Ad esempio, ANY_SERVICE_ACCOUNT consente un service account di qualsiasi organizzazione.

• identities: (deve essere utilizzato questo attributo o l'attributo identityType) questo attributo avvia un elenco di service account, account utente, gruppi Google o identità di terze parti che possono accedere alle risorse nel perimetro.

• PRINCIPAL_IDENTIFIER: specifica un account utente, un service account, un gruppo Google o un'identità di terze parti a cui permettere di accedere alle risorse nel perimetro. I Controlli di servizio VPC supportano solo le seguenti identità per gli identificatori delle identità API IAM v1:

  • Per gli account utente e i service account, utilizza rispettivamente i formati user:USER_EMAIL_ADDRESS e serviceAccount:SA_EMAIL_ADDRESS.

  • Per le altre identità, utilizza i formati specificati in Gruppi di identità supportati.

  Per ulteriori informazioni su queste identità, consulta Identificatori delle entità per le policy di autorizzazione.

• sources: (obbligatorio) questo attributo si riferisce a un elenco di origini di rete. Ogni valore nell'elenco è un livello di accesso o un progetto Google Cloud . Se imposti l'attributo accessLevel su "*", la policy in entrata consente l'accesso da qualsiasi origine di rete. Se imposti questo attributo su un progetto Google Cloud , la policy in entrata consente l'accesso da una rete VPC appartenente al progetto.

  Questo valore potrebbe essere rimosso quando il progetto associato viene eliminato definitivamente. Tuttavia, la rimozione di questo valore non causa un errore. Controlla sempre se questo valore esiste al momento di risolvere i problemi.

• - resource: (utilizza questo attributo o l'attributo accessLevel) specifica un progetto o una rete VPC esterna al perimetro a cui fornire l'accesso. Per specificare un progetto, utilizza il seguente formato: projects/PROJECT_NUMBER. Per specificare una rete VPC, utilizza il seguente formato: //compute.googleapis.com/projects/PROJECT_ID/global/networks/NETWORK_NAME.

• - accessLevel: (deve essere utilizzato questo attributo o l'attributo resource) specifica il livello di accesso dall'esterno del perimetro a cui viene concesso l'accesso. Se imposti l'attributo accessLevel su "*", la policy in entrata consente l'accesso da qualsiasi origine di rete.

• ingressTo: (obbligatorio) inizia il blocco to che elenca le operazioni di servizio consentite sulle risorse Google Cloud specificate all'interno del perimetro.

• operations: (deve essere utilizzato questo attributo o l'attributo roles) contrassegna l'inizio dell'elenco dei servizi e delle azioni o dei metodi accessibili a cui un client che soddisfa le condizioni del blocco from può accedere.

• - serviceName: (obbligatorio) questo campo può essere un nome di servizio valido oppure può essere impostato su "*" per consentire l'accesso a tutti i servizi. Ad esempio, bigquery.googleapis.com è un serviceName valido. Per un elenco dei servizi disponibili, consulta Prodotti supportati.

• methodSelectors: (obbligatorio se serviceName non è "*") l'inizio di un elenco di metodi a cui un client che soddisfa le condizioni del blocco from può accedere. Per un elenco di metodi e autorizzazioni limitabili per i servizi, consulta Limitazioni dei metodi dei servizi supportati.

  Per un elenco dei metodi di servizio che i Controlli di servizio VPC non possono controllare, consulta Eccezioni per i metodi dei servizi.

• - method: (deve essere utilizzato questo attributo o l'attributo permission) questo campo può essere un metodo di servizio valido oppure può essere impostato su "*" per consentire l'accesso a tutti i metodi dei servizi specificati.

• - permission: (deve essere utilizzato questo attributo o l'attributo method) questo campo deve essere un'autorizzazione di servizio valida. L'accesso alle risorse all'interno del perimetro è consentito per le operazioni che richiedono l'autorizzazione.

  Se una richiesta a una risorsa richiede più autorizzazioni, devi specificare tutte le autorizzazioni richieste nella stessa operazione affinché la regola in entrata funzioni. Ad esempio, se una richiesta a una risorsa BigQuery richiede le autorizzazioni bigquery.jobs.create e bigquery.tables.create, devi specificarle entrambe nella stessa operazione. Inoltre, se specifichi più volte le autorizzazioni per la stessa risorsa utilizzando la consoleGoogle Cloud , le autorizzazioni non vengono create nella stessa operazione. Per evitare questo problema, specifica tutte le autorizzazioni contemporaneamente per la risorsa.

• roles: (deve essere utilizzato questo attributo o l'attributo operations) questo attributo si riferisce a un elenco di ruoli IAM che definisce l'ambito di accesso per i servizi specificati nella regola.

• ROLE_NAME: specifica un singolo ruolo o una combinazione di ruoli che includono tutte le autorizzazioni necessarie per accedere ai servizi. Per specificare un ruolo, utilizza i formati del nome del ruolo indicati in Componenti del ruolo, ad eccezione del seguente formato: projects/PROJECT_ID/roles/IDENTIFIER.

  Per informazioni sui servizi e sui ruoli supportati, consulta Prodotti supportati.

• resources: (obbligatorio) questo attributo specifica l'elenco delle risorseGoogle Cloud nel perimetro di servizio a cui può accedere il client al di fuori del perimetro. Questo campo può essere impostato su "*" per consentire l'accesso in entrata a qualsiasi risorsa Google Cloud all'interno del perimetro.

• title: (facoltativo) questo attributo specifica il titolo della regola in entrata. Il titolo deve essere univoco all'interno del perimetro e non può superare i 100 caratteri. All'interno della policy di accesso, la lunghezza combinata di tutti i titoli delle regole non deve superare i 240.000 caratteri.

Per creare una regola in entrata che funzioni, devi specificare i seguenti attributi:

• Attributo sources. Devi specificare un valore per accessLevel o resource (progetto o rete VPC) oppure impostare l'attributo accessLevel su "*".Google Cloud

• Attributo identityType o identities
• Attributo resources
• AttributoserviceName

Una volta terminata la configurazione del file delle policy in entrata, consulta Aggiornamento delle policy in entrata e in uscita per scoprire come applicare il file delle policy in entrata al perimetro di servizio.

Se configuri più regole in entrata in un perimetro di servizio, i Controlli di servizio VPC consentono una richiesta se soddisfa le condizioni di una qualsiasi delle regole in entrata.

Riferimento alle regole in uscita

Le regole in uscita possono essere configurate utilizzando la console Google Cloud , un file JSON o un file YAML. L'esempio seguente utilizza il formato .yaml:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD
      *OR*
      - permission: PERMISSION
    *OR*
    roles:
    - ROLE_NAME
    resources:
    - projects/PROJECT
    *OR*
    externalResources:
    - EXTERNAL_RESOURCE_PATH
  egressFrom:
    identityType: ANY_IDENTITY | ANY_USER_ACCOUNT | ANY_SERVICE_ACCOUNT
    *OR*
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
    sourceRestriction: RESTRICTION_STATUS
  title: TITLE

• - egressTo: (obbligatorio) avvia il blocco to che elenca le operazioni di servizio consentite sulle risorse Google Cloud nei progetti specificati al di fuori del perimetro.

• operations: (deve essere utilizzato questo attributo o l'attributo roles) contrassegna l'inizio dell'elenco dei servizi e delle azioni o dei metodi accessibili a cui un client che soddisfa le condizioni del blocco from può accedere.

• - serviceName: (obbligatorio) questo campo può essere un nome di servizio valido oppure può essere impostato su "*" per consentire l'accesso a tutti i servizi. Per un elenco dei servizi disponibili, consulta Prodotti supportati.

• methodSelectors: (obbligatorio se serviceName non è "*") l'inizio di un elenco di metodi a cui un client che soddisfa le condizioni del blocco from può accedere. Per un elenco di metodi e autorizzazioni limitabili per i servizi, consulta Limitazioni dei metodi dei servizi supportati.

  Per un elenco dei metodi di servizio che i Controlli di servizio VPC non possono controllare, consulta Eccezioni per i metodi dei servizi.

• - method: (deve essere utilizzato questo attributo o l'attributo permission) questo campo può essere un metodo di servizio valido oppure può essere impostato su "*" per consentire l'accesso a tutti i metodi dei servizi specificati.

• - permission: (deve essere utilizzato questo attributo o l'attributo method) questo campo deve essere un'autorizzazione di servizio valida. L'accesso alle risorse specificate al di fuori del perimetro è consentito per le operazioni che richiedono l'autorizzazione.

  Se una richiesta a una risorsa richiede più autorizzazioni, devi specificare tutte le autorizzazioni richieste nella stessa operazione affinché la regola in uscita funzioni. Ad esempio, se una richiesta a una risorsa BigQuery richiede le autorizzazioni bigquery.jobs.create e bigquery.tables.create, devi specificarle entrambe nella stessa operazione. Inoltre, se specifichi più volte le autorizzazioni per la stessa risorsa utilizzando la consoleGoogle Cloud , le autorizzazioni non vengono create nella stessa operazione. Per evitare questo problema, specifica tutte le autorizzazioni contemporaneamente per la risorsa.

• roles: (deve essere utilizzato questo attributo o l'attributo operations) questo attributo si riferisce a un elenco di ruoli IAM che definisce l'ambito di accesso per i servizi specificati nella regola.

• ROLE_NAME: specifica un singolo ruolo o una combinazione di ruoli che includono tutte le autorizzazioni necessarie per accedere ai servizi. Per specificare un ruolo, utilizza i formati del nome del ruolo indicati in Componenti del ruolo, ad eccezione del seguente formato: projects/PROJECT_ID/roles/IDENTIFIER.

  Per informazioni sui servizi e sui ruoli supportati, consulta Prodotti supportati.

• resources: questo attributo è un elenco di risorse Google Cloud specificate dai relativi progetti a cui i client all'interno di un perimetro possono accedere. Puoi impostare questo campo su "*" per consentire l'accesso in uscita a qualsiasi risorsaGoogle Cloud .

• externalResources: questo attributo viene utilizzato solo per specificare le risorse BigQuery Omni. Questo attributo è un elenco di risorse esterne supportate da BigQuery Omni a cui possono accedere i client all'interno di un perimetro. Puoi specificare solo risorse Amazon S3 o Azure Blob Storage. Per Amazon S3, il formato supportato è s3://BUCKET_NAME. Per Azure Storage, il formato supportato è azure://myaccount.blob.core.windows.net/CONTAINER_NAME.

• egressFrom: (obbligatorio) inizia il blocco from che elenca le origini e le identità consentite all'interno del perimetro.

• identityType: (deve essere utilizzato questo attributo o l'attributo identities) questo attributo definisce i tipi di identità che possono essere utilizzati per accedere alle risorse specificate al di fuori del perimetro. Valori accettati: ANY_IDENTITY, ANY_USER_ACCOUNT, ANY_SERVICE_ACCOUNT. ANY_IDENTITY consente le richieste di tutte le identità, incluse quelle non autenticate. ANY_USER_ACCOUNT consente tutti gli utenti e ANY_SERVICE_ACCOUNT tutti i service account, ma sia ANY_USER_ACCOUNT che ANY_SERVICE_ACCOUNT non consentono richieste non autenticate.

  Questo attributo non limita le identità in base all'organizzazione. Ad esempio, ANY_SERVICE_ACCOUNT consente un service account di qualsiasi organizzazione.

• identities: (deve essere utilizzato questo attributo o l'attributo identityType) questo attributo avvia un elenco di service account, account utente, gruppi Google o identità di terze parti che possono accedere alle risorse specificate al di fuori del perimetro.

• PRINCIPAL_IDENTIFIER: specifica un account utente, un service account, un gruppo Google o un'identità di terze parti che può accedere alle risorse specificate al di fuori del perimetro. I Controlli di servizio VPC supportano solo le seguenti identità per gli identificatori delle identità API IAM v1:

  • Per gli account utente e i service account, utilizza rispettivamente i formati user:USER_EMAIL_ADDRESS e serviceAccount:SA_EMAIL_ADDRESS.

  • Per le altre identità, utilizza i formati specificati in Gruppi di identità supportati.

  Per ulteriori informazioni su queste identità, consulta Identificatori delle entità per le policy di autorizzazione.

• sources: questo attributo specifica un elenco di origini di rete. Il valore dell'attributo può essere un elenco di progetti o livelli di accesso. Per applicare le limitazioni di accesso in base al valore specificato per sources, imposta l'attributo sourceRestriction su SOURCE_RESTRICTION_ENABLED.

  I Controlli di servizio VPC valutano gli attributi accessLevel e resource dell'attributo sources come condizione OR.

• - resource: (utilizza questo attributo o l'attributo accessLevel) specifica una o più risorseGoogle Cloud del perimetro di servizio a cui vuoi consentire di accedere ai dati al di fuori del perimetro. Questo attributo supporta solo i progetti. Per specificare un progetto, utilizza il seguente formato: projects/PROJECT_NUMBER.

  Non puoi utilizzare "*" in questo attributo per consentire tutte le risorse Google Cloud .

• - accessLevel: (utilizza questo attributo o l'attributo resource) specifica uno o più livelli di accesso che consentono alle risorse all'interno del perimetro di accedere alle risorse all'esterno del perimetro. Assicurati che questi livelli di accesso provengano dalla stessa policy di accesso del perimetro. Se imposti l'attributo accessLevel su "*", la policy in uscita consente l'accesso da qualsiasi origine di rete.

• sourceRestriction: (obbligatorio se utilizzi l'attributo sources) questo attributo consente di applicare limitazioni di accesso in base al valore specificato per sources. Per applicare queste limitazioni di accesso, imposta l'attributo sourceRestriction su SOURCE_RESTRICTION_ENABLED.

  Per disattivare queste limitazioni di accesso, imposta l'attributo sourceRestriction su SOURCE_RESTRICTION_DISABLED.

  Se non imposti nessun valore per l'attributo sourceRestriction, i Controlli di servizio VPC ignorano l'attributo sources e non applicano limitazioni di accesso.

• title: (facoltativo) questo attributo specifica il titolo della regola in uscita. Il titolo deve essere univoco all'interno del perimetro e non può superare i 100 caratteri. All'interno della policy di accesso, la lunghezza combinata di tutti i titoli delle regole non deve superare i 240.000 caratteri.

Una volta terminata la configurazione del file delle policy in uscita, consulta Aggiornamento delle policy in entrata e in uscita per scoprire come applicare il file delle policy in uscita al perimetro di servizio.

Se configuri più regole in uscita in un perimetro di servizio, i Controlli di servizio VPC consentono una richiesta se soddisfa le condizioni di una qualsiasi delle regole in uscita.

Utilizzo della modalità dry run per testare le policy in entrata e in uscita

Nei casi in cui non vuoi concedere l'accesso a tutti i metodi di un servizio, a volte può essere difficile determinare l'elenco preciso dei metodi da consentire. Ciò può verificarsi perché un determinato metodo per un servizio può causare il richiamo di un metodo diverso su un servizio Google Cloud separato. Un esempio è quando BigQuery carica una tabella da un bucket Cloud Storage per eseguire una query.

Per determinare il set corretto di metodi da consentire, puoi utilizzare la modalità dry run dei Controlli di servizio VPC. Per farlo, attiva prima un perimetro in modalità dry run senza policy in entrata o in uscita e raccogli l'elenco dei metodi richiamati dall'audit log. Poi aggiungi progressivamente questi metodi alle policy in entrata e in uscita in modalità dry run finché tutte le violazioni non cessano. A questo punto, la configurazione può passare dalla modalità dry run alla modalità di applicazione forzata.

Funzionalità non supportate

Le seguenti funzionalità non sono attualmente supportate per le regole in entrata e in uscita:

1. Identificazione delle risorse Google Cloud tramite etichette anziché progetti.
2. Non tutti i servizi supportano le regole in entrata e in uscita per singolo metodo. Consulta Limitazioni dei metodi dei servizi supportati.
3. I tipi di identità ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT non possono essere utilizzati per consentire le seguenti operazioni:
   • Tutte le operazioni di Container Registry.
   • Tutte le operazioni di servizio di notebooks.googleapis.com.
   • Operazioni Cloud Storage che utilizzano URL firmati.
   • Con Cloud Run Functions, il deployment di una funzione Cloud Functions dalla macchina locale.
   • Esportare i log da un sink Cloud Logging a una risorsa Cloud Storage.
   • Tutte le operazioni dell'interfaccia web di Apache Airflow in Cloud Composer.
4. Comprendi le limitazioni dell'utilizzo dei gruppi di identità nelle regole in entrata e in uscita.

Limitazioni

Per informazioni sui limiti in entrata e in uscita, consulta Quote e limiti.

Passaggi successivi

• Completa questo codelab per scoprire come correggere le violazioni in entrata e in uscita.
• Scopri come configurare e visualizzare la dashboard delle violazioni.