Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen

Mithilfe von Zugriffsebenen können Sie kontrollierten Zugriff auf geschützte Google Cloud Ressourcen in Dienstperimetern von außerhalb eines Perimeters gewähren.

Eine Zugriffsebene definiert eine Reihe von Attributen, die eine Anfrage erfüllen muss, damit sie berücksichtigt wird. Zugriffsebenen können verschiedene Kriterien beinhalten, z. B. IP-Adresse und Nutzeridentität.

Eine detaillierte Übersicht über Zugriffsebenen finden Sie in der Beschreibung zu Access Context Manager.

Bevor Sie Zugriffsebenen in Ihrem Perimeter verwenden, sollten Sie Folgendes beachten:

  • Zugriffsebenen und Regeln für eingehenden Traffic steuern den Traffic zu einem Perimeter gemeinsam. VPC Service Controls lässt eine Anfrage zu, wenn sie die Bedingungen der Zugriffsebene oder der Regel für eingehenden Traffic erfüllt.

  • Wenn Sie einem Dienstperimeter mehrere Zugriffsebenen hinzufügen, lässt VPC Service Controls eine Anfrage zu, wenn sie die Bedingungen einer der Zugriffsebenen erfüllt.

Einschränkungen bei der Verwendung von Zugriffsebenen mit VPC Service Controls

Bei der Verwendung von Zugriffsebenen mit VPC Service Controls gelten bestimmte Einschränkungen:

  • Zugriffsebenen erlauben für die Ressourcen eines geschützten Dienstes innerhalb eines Perimeters nur Anfragen von außerhalb eines Perimeters.

    Sie können keine Zugriffsebenen verwenden, um Anfragen von einer geschützten Ressource innerhalb eines Perimeters für Ressourcen außerhalb des Perimeters zuzulassen. Beispiel: Ein Compute Engine-Client innerhalb eines Dienstperimeters ruft einen create-Vorgang von Compute Engine auf, wobei sich die Image-Ressource außerhalb des Perimeters befindet. Verwenden Sie eine Richtlinie für ausgehenden Traffic, um den Zugriff von einer geschützten Ressource innerhalb eines Perimeters auf Ressourcen außerhalb des Perimeters zuzulassen.

  • Zugriffsebenen können zwar verwendet werden, um Anfragen von außerhalb eines Dienstperimeters zuzulassen, sie können jedoch nicht verwendet werden, um Anfragen eines anderen Perimeters an eine geschützte Ressource in Ihrem Perimeter zuzulassen. Damit Anfragen von einem anderen Perimeter an geschützte Ressourcen in Ihrem Perimeter zugelassen werden, muss der andere Perimeter eine Richtlinie für ausgehenden Traffic verwenden. Weitere Informationen finden Sie unter Anfragen zwischen Perimetern.

  • Wenn Sie den Zugriff auf den Perimeter von privaten Ressourcen aus zulassen möchten, die in einem anderen Projekt oder einer anderen Organisation bereitgestellt werden, ist ein Cloud NAT-Gateway im Quellprojekt erforderlich. Cloud NAT ist in den privaten Google-Zugriff eingebunden. Dadurch wird der private Google-Zugriff automatisch für das Subnetz der Ressource aktiviert und der Traffic zu Google APIs und ‑Diensten bleibt intern. Er wird also nicht über die externe IP-Adresse des Cloud NAT-Gateways ins Internet weitergeleitet. Da der Traffic innerhalb des internen Google-Netzwerks weitergeleitet wird, wird das Feld RequestMetadata.caller_ip des AuditLog-Objekts in gce-internal-ip geändert. Anstatt die externe IP-Adresse des Cloud NAT-Gateways in der Zugriffsebene für die IP-basierte Zulassungsliste zu verwenden, konfigurieren Sie eine Ingress-Regel, um den Zugriff basierend auf anderen Attributen wie dem Projekt oder dem Dienstkonto zuzulassen.

Zugriffsebenen erstellen und verwalten

Zugriffsebenen werden mit Access Context Manager erstellt und verwaltet.

Zugriffsebene erstellen

Informationen dazu, wie Sie eine Zugriffsebene erstellen, entnehmen Sie der Dokumentation zu Access Context Manager.

In den folgenden Beispielen wird erläutert, wie Sie eine Zugriffsebene für verschiedene Kriterien erstellen:

Dienstperimetern Zugriffsebenen hinzufügen

Sie können einem Dienstperimeter bei dessen Erstellung oder einem vorhandenen Perimeter Zugriffsebenen hinzufügen:

Zugriffsebenen verwalten

Informationen zum Auflisten, Ändern und Löschen vorhandener Zugriffsebenen finden Sie unter Zugriffsebenen verwalten.

Nächste Schritte