Mengonfigurasi grup identitas dan identitas pihak ketiga dalam aturan masuk dan keluar

Halaman ini menjelaskan cara menggunakan grup identitas dalam aturan masuk dan keluar untuk mengizinkan akses ke resource yang dilindungi oleh perimeter layanan.

Kontrol Layanan VPC menggunakan aturan ingress dan egressuntuk mengizinkan akses ke dan dari resource serta klien yang dilindungi oleh perimeter layanan. Untuk lebih memperbaiki akses, Anda dapat menentukan grup identitas dalam aturan masuk dan keluar.

Grup identitas adalah cara mudah untuk menerapkan kontrol akses ke kumpulan pengguna dan memungkinkan Anda mengelola identitas yang memiliki kebijakan akses serupa.

Untuk mengonfigurasi grup identitas dalam aturan ingress atau egress, Anda dapat menggunakan grup identitas yang didukung berikut dalam atribut identities:

Untuk mengetahui informasi tentang cara menerapkan kebijakan aturan traffic masuk dan keluar, lihat Mengonfigurasi kebijakan traffic masuk dan keluar.

Sebelum memulai

Mengonfigurasi grup identitas dalam aturan masuk

Konsol

Saat memperbarui kebijakan traffic masuk perimeter layanan atau menetapkan kebijakan traffic masuk selama pembuatan perimeter menggunakan konsol Google Cloud , Anda dapat mengonfigurasi aturan traffic masuk untuk menggunakan grup identitas.

  1. Saat Anda membuat perimeter atau mengedit perimeter di Google Cloud konsol, pilih Kebijakan masuk.

  2. Di bagian Dari kebijakan ingress, pilih Pilih identitas & grup dari daftar Identitas.

  3. Klik Tambahkan identitas.

  4. Di panel Tambahkan identitas, tentukan grup Google atau identitas pihak ketiga yang ingin Anda beri akses ke resource dalam perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam Grup identitas yang didukung.

  5. Klik Tambahkan identitas.

  6. Klik Simpan.

Untuk mengetahui informasi tentang atribut aturan ingress lainnya, lihat Referensi aturan ingress.

gcloud

Anda dapat mengonfigurasi aturan ingress untuk menggunakan grup identitas menggunakan file JSON atau file YAML. Contoh berikut menggunakan format YAML:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

Ganti kode berikut:

  • PRINCIPAL_IDENTIFIER: tentukan grup Google atau identitas pihak ketiga yang ingin Anda beri akses ke resource dalam perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam Grup identitas yang didukung.

Untuk mengetahui informasi tentang atribut aturan ingress lainnya, lihat Referensi aturan ingress.

Setelah memperbarui aturan traffic masuk yang ada untuk mengonfigurasi grup identitas, Anda harus memperbarui kebijakan aturan perimeter layanan:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

Ganti kode berikut:

  • PERIMETER_ID: ID perimeter layanan yang ingin Anda perbarui.
  • RULE_POLICY: jalur file aturan ingress yang diubah.

Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan.

Mengonfigurasi grup identitas dalam aturan keluar

Konsol

Saat memperbarui kebijakan traffic keluar perimeter layanan atau menetapkan kebijakan traffic keluar selama pembuatan perimeter menggunakan konsol Google Cloud , Anda dapat mengonfigurasi aturan traffic keluar untuk menggunakan grup identitas.

  1. Saat Anda membuat perimeter atau mengedit perimeter di konsol Google Cloud , pilih Kebijakan egress.

  2. Di bagian Dari kebijakan keluar, pilih Pilih identitas & grup dari daftar Identitas.

  3. Klik Tambahkan identitas.

  4. Di panel Tambahkan identitas, tentukan grup Google atau identitas pihak ketiga yang dapat mengakses resource tertentu di luar perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam Grup identitas yang didukung.

  5. Klik Tambahkan identitas.

  6. Klik Simpan.

Untuk mengetahui informasi tentang atribut aturan traffic keluar lainnya, lihat Referensi aturan traffic keluar.

gcloud

Anda dapat mengonfigurasi aturan traffic keluar untuk menggunakan grup identitas menggunakan file JSON atau file YAML. Contoh berikut menggunakan format YAML:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

Ganti kode berikut:

  • PRINCIPAL_IDENTIFIER: menentukan grup Google atau identitas pihak ketiga yang dapat mengakses resource tertentu di luar perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam Grup identitas yang didukung.

Untuk mengetahui informasi tentang atribut aturan traffic keluar lainnya, lihat Referensi aturan traffic keluar.

Setelah memperbarui aturan traffic keluar yang ada untuk mengonfigurasi grup identitas, Anda perlu memperbarui kebijakan aturan perimeter layanan:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

Ganti kode berikut:

  • PERIMETER_ID: ID perimeter layanan yang ingin Anda perbarui.
  • RULE_POLICY: jalur file aturan keluar yang diubah.

Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan.

Grup identitas yang didukung

Kontrol Layanan VPC mendukung grup identitas berikut dari ID Principal API v1 IAM:

Jenis Utama: ID
Grup group:GROUP_EMAIL_ADDRESS
Identitas tunggal dalam workforce identity pool principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
Semua identitas workforce dalam grup principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
Semua identitas workforce dengan nilai atribut tertentu principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Semua identitas dalam workforce identity pool principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
Identitas tunggal dalam workload identity pool principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
Grup workload identity pool principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
Semua identitas dalam workload identity pool dengan atribut tertentu principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Semua identitas dalam workload identity pool principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*

Untuk mengetahui informasi selengkapnya tentang identitas ini, lihat ID utama untuk kebijakan izin.

Batasan

  • Sebelum menggunakan grup identitas, pahami fitur yang tidak didukung dalam aturan ingress dan egress.
  • Saat menggunakan grup identitas dalam aturan keluar, Anda tidak dapat menyetel kolom resources di atribut egressTo ke "*".
  • Untuk mengetahui informasi tentang batas aturan traffic masuk dan keluar, lihat Kuota dan batas.

Langkah berikutnya