Para conceder acceso controlado a recursos protegidos Google Cloud en perímetros de servicio desde fuera de un perímetro, usa niveles de acceso.
Un nivel de acceso define un conjunto de atributos que debe cumplir una solicitud para que se acepte. Los niveles de acceso pueden incluir varios criterios, como la dirección IP y la identidad del usuario.
Para obtener una descripción detallada de los niveles de acceso, consulta el artículo Introducción al Administrador de contextos de acceso.
Antes de usar los niveles de acceso en tu perímetro, ten en cuenta lo siguiente:
Los niveles de acceso y las reglas de entrada se combinan para controlar el tráfico entrante a un perímetro. Controles de Servicio de VPC permite una solicitud si cumple las condiciones del nivel de acceso o de la regla de entrada.
Si añades varios niveles de acceso a un perímetro de servicio, Controles de Servicio de VPC permitirá una solicitud si cumple las condiciones de cualquiera de los niveles de acceso.
Limitaciones del uso de niveles de acceso con Controles de Servicio de VPC
Cuando se usan niveles de acceso con Controles de Servicio de VPC, se aplican ciertas limitaciones:
Los niveles de acceso solo permiten solicitudes procedentes de fuera de un perímetro para los recursos de un servicio protegido dentro de un perímetro.
No puedes usar niveles de acceso para permitir que las solicitudes de un recurso protegido dentro de un perímetro accedan a recursos fuera del perímetro. Por ejemplo, un cliente de Compute Engine dentro de un perímetro de servicio que llama a una operación
createde Compute Engine en la que el recurso de imagen está fuera del perímetro. Para permitir el acceso desde un recurso protegido que se encuentre dentro de un perímetro a recursos que estén fuera de él, usa una política de salida.Aunque los niveles de acceso se usan para permitir solicitudes desde fuera de un perímetro de servicio, no puedes usarlos para permitir solicitudes desde otro perímetro a un recurso protegido de tu perímetro. Para permitir que las solicitudes de otro perímetro accedan a los recursos protegidos de tu perímetro, el otro perímetro debe usar una política de salida. Para obtener más información, consulta el artículo sobre las solicitudes entre perímetros.
Para permitir el acceso al perímetro desde recursos privados implementados en un proyecto u organización diferentes, se necesita una pasarela Cloud NAT en el proyecto de origen. Cloud NAT se integra con Acceso privado de Google para habilitar automáticamente Acceso privado de Google en la subred del recurso y mantener el tráfico a las APIs y los servicios de Google interno, en lugar de enrutarlo a Internet mediante la dirección IP externa de la puerta de enlace de Cloud NAT. Como el tráfico se enruta en la red interna de Google, el campo
RequestMetadata.caller_ipdel objetoAuditLogse oculta y se muestra comogce-internal-ip. En lugar de usar la dirección IP externa de la pasarela Cloud NAT en el nivel de acceso de la lista de permitidas basada en IPs, configura una regla de entrada para permitir el acceso en función de otros atributos, como el proyecto o la cuenta de servicio.
Crear y gestionar niveles de acceso
Los niveles de acceso se crean y gestionan mediante Administrador de contextos de acceso.
Crear un nivel de acceso
Para crear un nivel de acceso, consulta el artículo sobre cómo crear un nivel de acceso en la documentación del Administrador de contextos de acceso.
En los siguientes ejemplos se explica cómo crear un nivel de acceso con diferentes condiciones:
Añadir niveles de acceso a perímetros de servicio
Puedes añadir niveles de acceso a un perímetro de servicio al crear el perímetro o a uno que ya tengas:
Consulta cómo añadir niveles de acceso al crear un perímetro.
Consulta cómo añadir niveles de acceso a un perímetro ya creado.
Gestionar niveles de acceso
Para obtener información sobre cómo enumerar, modificar y eliminar niveles de acceso, consulta el artículo Gestionar niveles de acceso.