Mengizinkan akses ke resource yang dilindungi dari luar perimeter

Untuk memberikan akses terkontrol ke resource Google Cloud yang dilindungi di perimeter layanan dari luar perimeter, gunakan tingkat akses.

Tingkat akses menentukan serangkaian atribut yang harus dipenuhi oleh permintaan agar permintaan tersebut dapat diproses. Tingkat akses dapat mencakup berbagai kriteria, seperti alamat IP dan identitas pengguna.

Untuk mengetahui ringkasan mendetail tentang tingkat akses, baca Ringkasan Access Context Manager.

Sebelum Anda menggunakan tingkat akses di perimeter, pertimbangkan hal berikut:

  • Tingkat akses dan aturan ingress bekerja sama untuk mengontrol traffic masuk ke perimeter. Kontrol Layanan VPC mengizinkan permintaan jika memenuhi kondisi tingkat akses atau aturan ingress.

  • Jika Anda menambahkan beberapa tingkat akses ke perimeter layanan, Kontrol Layanan VPC akan mengizinkan permintaan jika memenuhi kondisi salah satu tingkat akses.

Batasan penggunaan tingkat akses dengan Kontrol Layanan VPC

Saat menggunakan tingkat akses dengan Kontrol Layanan VPC, batasan tertentu berlaku:

  • Tingkat akses hanya mengizinkan permintaan dari luar perimeter untuk resource layanan yang dilindungi di dalam perimeter.

    Anda tidak dapat menggunakan tingkat akses untuk mengizinkan permintaan dari resource yang dilindungi di dalam perimeter ke resource di luar perimeter. Misalnya, klien Compute Engine dalam perimeter layanan memanggil operasi create Compute Engine dengan resource image di luar perimeter. Untuk mengizinkan akses dari resource yang dilindungi di dalam perimeter ke resource di luar perimeter, gunakan kebijakan egress.

  • Meskipun tingkat akses digunakan untuk mengizinkan permintaan dari luar perimeter layanan, Anda tidak dapat menggunakan tingkat akses untuk mengizinkan permintaan dari perimeter lain ke resource yang dilindungi di perimeter Anda. Untuk mengizinkan permintaan dari perimeter lain ke resource yang dilindungi di perimeter Anda, perimeter lain tersebut harus menggunakan kebijakan egress. Untuk mengetahui informasi selengkapnya, baca tentang permintaan antarperimeter.

  • Untuk mengizinkan akses perimeter dari resource pribadi yang di-deploy di project atau organisasi berbeda, gateway Cloud NAT diperlukan di project sumber. Cloud NAT memiliki integrasi dengan Akses Google Pribadi yang secara otomatis mengaktifkan Akses Google Pribadi di subnet resource, dan menjaga traffic ke Google API dan layanan Google tetap internal, bukan merutekannya ke internet menggunakan alamat IP eksternal gateway Cloud NAT. Karena traffic dirutekan dalam jaringan internal Google, kolom RequestMetadata.caller_ip dari objek AuditLog disamarkan menjadi gce-internal-ip. Daripada menggunakan alamat IP eksternal gateway Cloud NAT di tingkat akses untuk daftar yang diizinkan berbasis IP, konfigurasi aturan ingress untuk mengizinkan akses berdasarkan atribut lainnya, seperti project atau akun layanan.

Membuat dan mengelola tingkat akses

Tingkat akses dibuat dan dikelola menggunakan Access Context Manager.

Membuat tingkat akses

Untuk membuat tingkat akses, baca tentang Membuat tingkat akses dalam dokumentasi Access Context Manager.

Contoh berikut menjelaskan cara membuat tingkat akses menggunakan berbagai kondisi:

Menambahkan tingkat akses ke perimeter layanan

Anda dapat menambahkan tingkat akses ke perimeter layanan saat membuat perimeter, atau ke perimeter yang sudah ada:

Mengelola tingkat akses

Untuk mengetahui informasi tentang cara mencantumkan, mengubah, dan menghapus tingkat akses yang ada, baca Mengelola tingkat akses.

Langkah berikutnya