在入站流量和出站流量规则中配置身份群组和第三方身份

本页面介绍了如何在入站流量和出站流量规则中使用身份群组来允许访问受服务边界保护的资源。

VPC Service Controls 使用入站流量和出站流量规则来允许访问受服务边界保护的资源和客户端或来自它们的访问。如需进一步细化访问权限,您可以在入站流量和出站流量规则中指定身份群组。

身份群组是将访问权限控制应用于一组用户的一种便捷方式,可让您管理具有类似访问权限政策的身份。

如需在入站流量和出站流量规则中配置身份群组,您可以在 identities 属性中使用以下受支持的身份群组:

如需了解如何应用入站流量和出站流量规则政策,请参阅配置入站流量和出站流量政策

准备工作

在入站流量规则中配置身份群组

控制台

使用 Google Cloud 控制台更新服务边界的入站流量政策在创建边界时设置入站流量政策时,您可以将入站流量规则配置为使用身份群组。

  1. 在 Google Cloud 控制台中创建或修改边界时,选择入站流量政策

  2. 在入站流量政策的来源部分,从身份列表中选择选择身份和群组

  3. 点击添加身份

  4. 添加身份窗格中,指定您要向其提供边界中资源的访问权限的 Google 群组或第三方身份。如需指定身份群组,请使用受支持的身份群组中指定的格式。

  5. 点击添加身份

  6. 点击保存

如需了解其他入站流量规则属性,请参阅入站流量规则参考

gcloud

您可以使用 JSON 文件或 YAML 文件配置入站流量规则以使用身份群组。以下示例使用 YAML 格式:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

替换以下内容:

  • PRINCIPAL_IDENTIFIER:指定您要向其提供边界中资源的访问权限的 Google 群组或第三方身份。如需指定身份群组,请使用受支持的身份群组中指定的格式。

如需了解其他入站流量规则属性,请参阅入站流量规则参考

更新现有入站流量规则以配置身份群组后,您需要更新服务边界的规则政策:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

替换以下内容:

  • PERIMETER_ID:您要更新的服务边界的 ID。
  • RULE_POLICY:修改后的入站流量规则文件的路径。

如需了解详情,请参阅更新服务边界的入站流量和出站流量政策

在出站流量规则中配置身份群组

控制台

当您使用 Google Cloud 控制台更新服务边界的出站流量政策在创建边界时设置出站流量政策时,可以将出站流量规则配置为使用身份群组。

  1. 在 Google Cloud 控制台中创建或修改边界时,选择出站流量政策

  2. 在出站流量政策的来源部分中,从身份列表中选择选择身份和群组

  3. 点击添加身份

  4. 添加身份窗格中,指定可访问边界外指定资源的 Google 群组或第三方身份。如需指定身份群组,请使用受支持的身份群组中指定的格式。

  5. 点击添加身份

  6. 点击保存

如需了解其他出站流量规则属性,请参阅出站流量规则参考

gcloud

您可以使用 JSON 文件或 YAML 文件配置出站流量规则以使用身份群组。以下示例使用 YAML 格式:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

替换以下内容:

  • PRINCIPAL_IDENTIFIER:指定可访问边界外指定资源的 Google 群组或第三方身份。如需指定身份群组,请使用受支持的身份群组中指定的格式。

如需了解其他出站流量规则属性,请参阅出站流量规则参考

更新现有出站流量规则以配置身份群组后,您需要更新服务边界的规则政策:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

替换以下内容:

  • PERIMETER_ID:您要更新的服务边界的 ID。
  • RULE_POLICY:修改后的出站流量规则文件的路径。

如需了解详情,请参阅更新服务边界的入站流量和出站流量政策

支持的身份群组

VPC Service Controls 支持 IAM v1 API 主账号标识符中的以下身份群组:

主账号类型 标识符
群组 group:GROUP_EMAIL_ADDRESS
员工身份池中的单个身份 principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
群组中的所有员工身份 principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
具有特定属性值的所有员工身份 principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
员工身份池中的所有身份 principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
工作负载身份池中的单个身份 principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
工作负载身份池组 principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
工作负载身份池中具有特定属性的所有身份 principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
工作负载身份池中的所有身份 principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*

如需详细了解这些身份,请参阅许可政策的主账号标识符

限制

  • 在使用身份群组之前,请了解入站流量规则和出站流量规则中不受支持的功能
  • 如果您在出站流量规则中使用身份群组,则无法将 egressTo 属性中的 resources 字段设置为 "*"
  • 如需了解入站流量和出站流量规则限制,请参阅配额和限制

后续步骤