允許服務範圍外的受保護資源存取要求

如要從服務範圍外部授予服務範圍內受保護 Google Cloud 資源的受控存取權，請使用存取層級。

存取層級定義了一組屬性，要求必須符合這些條件才能接受。存取層級可以包含多種條件，例如 IP 位址和使用者身分。

如需存取層級的詳細總覽，請參閱 Access Context Manager 總覽。

在邊界中使用存取層級前，請考量下列事項：

• 存取層級和入境規則會搭配運作，控管邊界區域的入境流量。如果要求符合存取層級或輸入規則的條件，VPC Service Controls 就會允許該要求。

• 如果您在服務範圍中新增多個存取層級，只要要求符合任一存取層級的條件，VPC Service Controls 就會允許該要求。

搭配使用 VPC Service Controls 與存取層級的限制

搭配使用存取層級與 VPC Service Controls 時，適用下列限制：

• 存取層級只允許範圍外的請求，用於範圍內受保護服務的資源。

  您無法使用存取層級，允許範圍內受保護資源的存取要求，存取範圍外的資源。舉例來說，服務範圍內的 Compute Engine 用戶端呼叫 Compute Engine create 作業，但映像資源位於範圍之外。如要允許範圍內受保護的資源存取範圍外的資源，請使用出口政策。

• 雖然存取層級可用於允許服務範圍外部的請求，但您無法使用存取層級，允許其他範圍的請求存取您範圍中的受保護資源。如要允許其他範圍的請求存取您範圍中的受保護資源，該範圍必須使用egress 政策。詳情請參閱重疊範圍之間的要求。

• 如要允許從部署在不同專案或組織中的私人資源存取外圍，來源專案中必須有 Cloud NAT 閘道。Cloud NAT 已與私人 Google 存取權整合，可自動在資源的子網路上啟用私人 Google 存取權，並將流量保留在 Google API 和服務的內部，而非使用 Cloud NAT 閘道外部 IP 位址將流量路由至網際網路。由於流量是在 Google 內部網路中轉送，因此 AuditLog 物件的 RequestMetadata.caller_ip 欄位會被編輯為 gce-internal-ip。請不要在以 IP 為準的許可清單的存取層級中使用 Cloud NAT 閘道的外部 IP 位址，而是設定入站規則，根據專案或服務帳戶等其他屬性允許存取。

建立及管理存取層級

您可以使用 Access Context Manager 建立及管理存取層級。

建立存取層級

如要建立存取層級，請參閱 Access Context Manager 說明文件中的建立存取層級相關資訊。

以下的例子說明如何使用不同條件建立存取層級：

• IP 位址
• 使用者和服務帳戶 (主體)
• 裝置政策

為服務範圍新增存取層級

您可以在建立服務範圍時，為該範圍新增存取層級，也可以為現有範圍新增存取層級：

• 瞭解建立範圍時新增存取層級

• 瞭解如何為現有範圍新增存取層級

管理存取層級

如要瞭解如何列出、修改及刪除現有的存取層級，請參閱「管理存取層級」。

後續步驟

• 建立存取層級