Para otorgar acceso controlado a los recursos protegidos de Google Cloud en perímetros de servicio por fuera de un perímetro, usa los niveles de acceso.
Un nivel de acceso define un conjunto de atributos que una solicitud debe cumplir para que se respete. En estos niveles, se pueden considerar varios criterios, como la dirección IP y la identidad del usuario.
Para obtener una descripción detallada de los niveles de acceso, consulta la descripción general de Access Context Manager.
Antes de usar los niveles de acceso en tu perímetro, ten en cuenta lo siguiente:
Los niveles de acceso y las reglas de entrada trabajan en conjunto para controlar el tráfico entrante a un perímetro. Los Controles del servicio de VPC permiten una solicitud si satisface las condiciones del nivel de acceso o de la regla de entrada.
Si agregas varios niveles de acceso a un perímetro de servicio, los Controles del servicio de VPC admiten una solicitud si cumple con las condiciones de cualquiera de los niveles de acceso.
Limitaciones del uso de niveles de acceso con los Controles del servicio de VPC
Cuando se usan niveles de acceso con los Controles del servicio de VPC, se aplican ciertas limitaciones:
Los niveles de acceso solo permiten solicitudes externas al perímetro para los recursos de un servicio protegido dentro de un perímetro.
No puedes usar los niveles de acceso para admitir solicitudes de un recurso protegido en un perímetro de recursos que se encuentran fuera de él. Por ejemplo, un cliente de Compute Engine en un perímetro de servicio que llama a una operación
createde Compute Engine en la que el recurso de imagen está fuera de él. Para permitir el acceso desde un recurso protegido en un perímetro a recursos fuera de él, usa una política de salida.Aunque los niveles de acceso se usan para admitir solicitudes por fuera de un perímetro de servicio, no puedes usarlos para admitir solicitudes desde otro perímetro a un recurso protegido en el tuyo. Para admitir solicitudes de otro perímetro a recursos protegidos en el tuyo, el otro perímetro debe usar una política de salida. Para obtener más información, lee sobre las solicitudes entre perímetros.
Para permitir el acceso al perímetro desde recursos privados implementados en un proyecto o una organización diferentes, se requiere una puerta de enlace de Cloud NAT en el proyecto de origen. Cloud NAT se integra con el Acceso privado a Google. Esto habilita automáticamente ese acceso en la subred del recurso y mantiene el tráfico a las APIs y los servicios de Google de forma interna, en lugar de enrutarlo a Internet con la dirección IP externa de la puerta de enlace de Cloud NAT. Como el tráfico se enruta en la red interna de Google, el campo
RequestMetadata.caller_ipdel objetoAuditLogse oculta y se reemplaza porgce-internal-ip. En lugar de usar la dirección IP externa de la puerta de enlace de Cloud NAT en el nivel de acceso para la lista de entidades permitidas basada en IP, configura una regla de entrada para permitir el acceso según otros atributos, como el proyecto o la cuenta de servicio.
Crea y administra niveles de acceso
Los niveles de acceso se crean y administran con Access Context Manager.
Crea un nivel de acceso
Para crear un nivel de acceso, consulta Crea un nivel de acceso en la documentación de Access Context Manager.
En los siguientes ejemplos, se explica cómo crear un nivel de acceso con diferentes condiciones:
Agrega niveles de acceso a perímetros de servicio
Puedes agregar niveles de acceso a un perímetro de servicio cuando creas el perímetro o agregarlos a un perímetro existente:
Administra los niveles de acceso
Para obtener información sobre cómo enumerar, modificar y borrar niveles de acceso existentes, consulta Administra niveles de acceso.