Consentire l'accesso a risorse protette dall'esterno di un perimetro

Per concedere l'accesso controllato alle risorse Google Cloud protette nei perimetri di servizio dall'esterno di un perimetro, utilizza i livelli di accesso.

Un livello di accesso definisce un insieme di attributi che una richiesta deve soddisfare per essere accettata. I livelli di accesso possono includere vari criteri, ad esempio l'indirizzo IP e l'identità utente.

Per una panoramica dettagliata dei livelli di accesso, consulta la panoramica di Gestore contesto accesso.

Prima di utilizzare i livelli di accesso nel perimetro, tieni presente quanto segue:

  • I livelli di accesso e le regole di ingresso lavorano insieme per controllare il traffico in entrata in un perimetro. Controlli di servizio VPC consente una richiesta se soddisfa le condizioni del livello di accesso o della regola di ingresso.

  • Se aggiungi più livelli di accesso a un perimetro di servizio, Controlli di servizio VPC consente una richiesta se soddisfa le condizioni di uno dei livelli di accesso.

Limitazioni dell'utilizzo dei livelli di accesso con Controlli di servizio VPC

Quando utilizzi i livelli di accesso con Controlli di servizio VPC, si applicano alcune limitazioni:

  • I livelli di accesso consentono solo richieste dall'esterno di un perimetro per le risorse di un servizio protetto all'interno di un perimetro.

    Non puoi utilizzare i livelli di accesso per consentire richieste da una risorsa protetta all'interno di un perimetro alle risorse all'esterno del perimetro. Ad esempio, un client Compute Engine all'interno di un perimetro di servizio che chiama un'operazione create di Compute Engine in cui la risorsa immagine si trova al di fuori del perimetro. Per consentire l'accesso da una risorsa protetta all'interno di un perimetro alle risorse all'esterno del perimetro, utilizza un criterio di uscita.

  • Anche se i livelli di accesso vengono utilizzati per consentire le richieste dall'esterno di un perimetro di servizio, non puoi utilizzare i livelli di accesso per consentire le richieste da un altro perimetro a una risorsa protetta nel tuo perimetro. Per consentire le richieste da un altro perimetro alle risorse protette nel tuo perimetro, l'altro perimetro deve utilizzare un regolamento di uscita. Per saperne di più, consulta la sezione sulle richieste tra perimetri.

  • Per consentire l'accesso al perimetro dalle risorse private di un progetto o di un'organizzazione diversa, è necessario un gateway Cloud NAT nel progetto di origine. Cloud NAT ha un'integrazione con Accesso privato Google che abilita automaticamente l'accesso privato Google sulla subnet della risorsa e mantiene interno il traffico verso le API e i servizi Google, anziché inoltrarlo a internet utilizzando l'indirizzo IP esterno del gateway Cloud NAT. Poiché il traffico viene indirizzato all'interno della rete interna di Google, il campo RequestMetadata.caller_ip dell'oggetto AuditLog viene oscurato in gce-internal-ip. Anziché utilizzare l'indirizzo IP esterno del gateway Cloud NAT nel livello di accesso per la lista consentita basata su IP, configura una regola di ingresso per consentire l'accesso in base ad altri attributi, come il progetto o l'account di servizio.

Creare e gestire i livelli di accesso

I livelli di accesso vengono creati e gestiti utilizzando Gestore contesto accesso.

Crea un livello di accesso

Per creare un livello di accesso, consulta la sezione sulla creazione di un livello di accesso nella documentazione di Gestore contesto accesso.

Gli esempi riportati di seguito spiegano come creare un livello di accesso utilizzando condizioni diverse:

Aggiungere livelli di accesso ai perimetri di servizio

Puoi aggiungere livelli di accesso a un perimetro di servizio durante la creazione del perimetro o a un perimetro esistente:

Gestire i livelli di accesso

Per informazioni su come elencare, modificare ed eliminare i livelli di accesso esistenti, consulta Gestire i livelli di accesso.

Passaggi successivi