Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אפשרות גישה למשאבים מוגנים מחוץ לגבולות גזרה

כדי להעניק גישה מבוקרת למשאבים מוגנים Google Cloud בגבולות גזרה לשירות מחוץ לגבולות הגזרה, משתמשים ברמות גישה.

רמת גישה מגדירה קבוצה של מאפיינים שהבקשה צריכה לעמוד בהם כדי שהיא תאושר. רמות הגישה יכולות לכלול קריטריונים שונים, כמו כתובת IP וזהות משתמש.

סקירה מפורטת של רמות הגישה זמינה במאמר סקירה כללית על Access Context Manager.

לפני שמשתמשים ברמות גישה בהיקף, כדאי לשים לב לנקודות הבאות:

רמות גישה וכללים לתעבורת נתונים נכנסת פועלים יחד כדי לשלוט בתעבורה הנכנסת לגבולות הגזרה. מערכת VPC Service Controls מאשרת בקשה אם היא עומדת בתנאים של רמת הגישה או של כלל הכניסה.
אם מוסיפים כמה רמות גישה לגבולות גזרה לשירות, מערכת VPC Service Controls מאשרת בקשה אם היא עומדת בתנאים של אחת מרמות הגישה.

מגבלות בשימוש ברמות גישה עם VPC Service Controls

כשמשתמשים ברמות גישה עם VPC Service Controls, חלות מגבלות מסוימות:

רמות הגישה מאפשרות רק בקשות מחוץ לגבולות גזרה למשאבים של שירות מוגן בתוך גבולות גזרה.

אי אפשר להשתמש ברמות גישה כדי לאפשר בקשות ממשאב מוגן בתוך גבול גזרה למשאבים מחוץ לגבול הגזרה. לדוגמה, לקוח Compute Engine שנמצא בתוך גבולות גזרה לשירות קורא לפעולה create של Compute Engine, כאשר משאב התמונה נמצא מחוץ לגבולות הגזרה. כדי לאפשר גישה ממשאב מוגן בתוך היקף למשאבים מחוץ להיקף, משתמשים במדיניות יציאה.
למרות שרמות גישה משמשות כדי לאפשר בקשות שמגיעות מחוץ לגבולות גזרה לשירות, אי אפשר להשתמש ברמות גישה כדי לאפשר בקשות מתוך גבולות גזרה אחרים למשאב מוגן בגבולות הגזרה שלכם. כדי לאפשר בקשות מגבולות גזרה אחרים למשאבים מוגנים בתוך גבולות הגזרה שלכם, גבולות הגזרה האחרים צריכים להשתמש במדיניות יציאה. מידע נוסף זמין במאמר בנושא בקשות בין היקפים.
כדי לאפשר גישה לגבולות גזרה ממשאבים פרטיים שנפרסו בפרויקט או בארגון אחר, נדרש שער Cloud NAT בפרויקט המקור. ל-Cloud NAT יש שילוב עם גישה פרטית ל-Google, שמאפשר באופן אוטומטי גישה פרטית ל-Google ברשת המשנה של המשאב, ושומר על התנועה ל-Google APIs ולשירותים של Google כפנימית, בניגוד לניתוב שלה לאינטרנט באמצעות כתובת ה-IP החיצונית של שער Cloud NAT. כשתעבורת הנתונים מנותבת בתוך הרשת הפנימית של Google, השדה RequestMetadata.caller_ip באובייקט AuditLog מצונזר ל-gce-internal-ip. במקום להשתמש בכתובת ה-IP החיצונית של שער Cloud NAT ברמת הגישה של רשימת ההיתרים מבוססת-IP, מגדירים כלל כניסה כדי לאפשר גישה על סמך מאפיינים אחרים, כמו הפרויקט או חשבון השירות.

יצירה וניהול של רמות גישה

רמות הגישה נוצרות ומנוהלות באמצעות Access Context Manager.

יצירת רמת גישה

כדי ליצור רמת גישה, אפשר לקרוא על יצירת רמת גישה במאמרי העזרה של Access Context Manager.

בדוגמאות הבאות מוסבר איך ליצור רמת גישה באמצעות תנאים שונים:

כתובת IP
חשבונות משתמשים וחשבונות שירות (חשבונות משתמשים)
מדיניות המכשיר

הוספת רמות גישה למתחמי אבטחה

אפשר להוסיף רמות גישה לגבולות גזרה לשירות כשיוצרים את גבולות הגזרה, או לגבולות גזרה קיימים:

ניהול רמות גישה

במאמר ניהול רמות גישה מוסבר איך מציגים, משנים ומוחקים רמות גישה קיימות.

המאמרים הבאים

יצירת רמת גישה

אפשרות גישה למשאבים מוגנים מחוץ לגבולות גזרה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.