Consenti l'accesso alle risorse protette dall'esterno di un perimetro

Per concedere l'accesso controllato alle risorse Google Cloud protette nei perimetri di servizio dall'esterno di un perimetro, utilizza i livelli di accesso.

Un livello di accesso definisce un insieme di attributi che una richiesta deve soddisfare per essere accettata. I livelli di accesso possono includere vari criteri, come l'indirizzo IP e l'identità utente.

Per una panoramica dettagliata dei livelli di accesso, leggi la panoramica di Gestore contesto accesso.

Prima di utilizzare i livelli di accesso nel perimetro, considera quanto segue:

  • I livelli di accesso e le regole in entrata funzionano insieme per controllare il traffico in entrata verso un perimetro. I Controlli di servizio VPC consentono una richiesta se soddisfa le condizioni del livello di accesso o della regola in entrata.

  • Se aggiungi più livelli di accesso a un perimetro di servizio, i Controlli di servizio VPC consentono una richiesta se questa soddisfa le condizioni di uno qualsiasi dei livelli di accesso.

Limitazioni dell'utilizzo dei livelli di accesso con i Controlli di servizio VPC

Quando utilizzi i livelli di accesso con i Controlli di servizio VPC, si applicano alcune limitazioni:

  • I livelli di accesso consentono solo le richieste provenienti dall'esterno di un perimetro e relative alle risorse di un servizio protetto all'interno di un perimetro.

    Non puoi utilizzare i livelli di accesso per consentire le richieste da una risorsa protetta all'interno di un perimetro a risorse all'esterno del perimetro. Ad esempio, non puoi consentire a un client Compute Engine all'interno di un perimetro di servizio di chiamare un'operazione create di Compute Engine in cui la risorsa immagine si trova all'esterno del perimetro. Per consentire l'accesso da una risorsa protetta all'interno di un perimetro a risorse all'esterno del perimetro, utilizza una policy in uscita.

  • Anche se i livelli di accesso vengono utilizzati per consentire le richieste provenienti dall'esterno di un perimetro di servizio, non puoi utilizzarli per consentire le richieste provenienti da un altro perimetro e destinate a una risorsa protetta nel tuo perimetro. Per consentire le richieste da un altro perimetro alle risorse protette nel tuo perimetro, l'altro perimetro deve utilizzare una policy in uscita. Per saperne di più, leggi le informazioni sulle richieste tra perimetri.

  • Per consentire l'accesso al perimetro da risorse private di cui è stato eseguito il deployment in un progetto o un'organizzazione diversi, è necessario un gateway Cloud NAT nel progetto di origine. Cloud NAT ha un'integrazione con l'accesso privato Google che attiva automaticamente l'accesso privato Google sulla subnet della risorsa e mantiene all'interno il traffico verso i servizi e le API di Google, anziché instradarlo a internet utilizzando l'indirizzo IP esterno del gateway Cloud NAT. Poiché il traffico viene instradato entro la rete interna di Google, il campo RequestMetadata.caller_ip dell'oggetto AuditLog viene modificato in gce-internal-ip. Anziché utilizzare l'indirizzo IP esterno del gateway Cloud NAT nel livello di accesso per la lista consentita basata su IP, configura una regola in entrata per consentire l'accesso in base ad altri attributi, come il progetto o il service account.

Crea e gestisci i livelli di accesso

I livelli di accesso vengono creati e gestiti utilizzando Gestore contesto accesso.

Crea un livello di accesso

Per creare un livello di accesso, leggi le informazioni sulla creazione di un livello di accesso nella documentazione di Gestore contesto accesso.

I seguenti esempi spiegano come creare un livello di accesso utilizzando condizioni diverse:

Aggiungi livelli di accesso ai perimetri di servizio

Puoi aggiungere livelli di accesso a un nuovo perimetro di servizio durante la creazione o a un perimetro esistente:

Gestisci i livelli di accesso

Per informazioni su come elencare, modificare ed eliminare i livelli di accesso esistenti, consulta Gestione dei livelli di accesso.

Passaggi successivi