Auf dieser Seite wird beschrieben, wie Sie Identitätsgruppen in Regeln für ein- und ausgehenden Traffic verwenden, um den Zugriff auf Ressourcen zu ermöglichen, die durch Dienstperimeter geschützt sind.
VPC Service Controls ermöglicht mithilfe von Regeln für ein- und ausgehenden Traffic den Zugriff auf die Ressourcen und Clients, die durch Dienstperimeter geschützt sind. Um den Zugriff weiter einzuschränken, können Sie Identitätsgruppen in Ihren Regeln für ein- und ausgehenden Traffic angeben.
Eine Identitätsgruppe ist eine praktische Möglichkeit, um Zugriffskontrollen auf eine Sammlung von Nutzern anzuwenden und Identitäten mit ähnlichen Zugriffsrichtlinien zu verwalten.
Wenn Sie Identitätsgruppen in den Ingress- oder Egress-Regeln konfigurieren möchten, können Sie die folgenden unterstützten Identitätsgruppen im Attribut identities verwenden:
- Google-Gruppe
Drittanbieteridentitäten wie Nutzer von Workforce-Pools und Workload-Identitäten.
VPC Service Controls unterstützt die Identitätsföderation von Arbeitslasten für GKE nicht.
Informationen zum Anwenden von Richtlinien für ein- und ausgehenden Traffic finden Sie unter Richtlinien für ein- und ausgehenden Traffic konfigurieren.
Hinweise
- Lesen Sie sich die Regeln für eingehenden und ausgehenden Traffic durch.
Identitätsgruppen in Regeln für eingehenden Traffic konfigurieren
Console
Wenn Sie die Richtlinie für eingehenden Traffic eines Dienstperimeters aktualisieren oder beim Erstellen eines Perimeters eine Richtlinie für eingehenden Traffic festlegen und dabei die Trusted Cloud -Konsole verwenden, können Sie die Regel für eingehenden Traffic so konfigurieren, dass Identitätsgruppen verwendet werden.
Wenn Sie in der Trusted Cloud Console einen Perimeter erstellen oder bearbeiten, wählen Sie Richtlinie für eingehenden Traffic aus.
Wählen Sie im Abschnitt Von Ihrer Ingress-Richtlinie in der Liste Identitäten die Option Identitäten und Gruppen auswählen aus.
Klicken Sie auf Identitäten hinzufügen.
Geben Sie im Bereich Identitäten hinzufügen eine Google-Gruppe oder eine Drittanbieteridentität an, der Sie Zugriff auf Ressourcen im Perimeter gewähren möchten. Verwenden Sie zum Angeben einer Identitätsgruppe das in Unterstützte Identitätsgruppen angegebene Format.
Klicken Sie auf Identitäten hinzufügen.
Klicken Sie auf Speichern.
Informationen zu den anderen Attributen von Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.
gcloud
Sie können eine Regel für eingehenden Traffic so konfigurieren, dass Identitätsgruppen verwendet werden. Dazu können Sie eine JSON-Datei oder eine YAML-Datei verwenden. Im folgenden Beispiel wird das YAML-Format verwendet:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Ersetzen Sie Folgendes:
PRINCIPAL_IDENTIFIER: Geben Sie eine Google-Gruppe oder eine Drittanbieteridentität an, der Sie Zugriff auf Ressourcen im Perimeter gewähren möchten. Verwenden Sie zum Angeben einer Identitätsgruppe das in Unterstützte Identitätsgruppen angegebene Format.
Informationen zu den anderen Attributen von Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.
Nachdem Sie eine vorhandene Ingress-Regel aktualisiert haben, um Identitätsgruppen zu konfigurieren, müssen Sie die Regelrichtlinien des Dienstperimeters aktualisieren:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Ersetzen Sie Folgendes:
PERIMETER_ID: Die ID des Dienstperimeters, den Sie aktualisieren möchten.RULE_POLICY: der Pfad der geänderten Ingress-Regeldatei.
Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.
Identitätsgruppen in Regeln für ausgehenden Traffic konfigurieren
Console
Wenn Sie die Richtlinie für ausgehenden Traffic eines Dienstperimeters aktualisieren oder beim Erstellen eines Perimeters eine Richtlinie für ausgehenden Traffic festlegen und dabei die Trusted Cloud Console verwenden, können Sie die Regel für ausgehenden Traffic so konfigurieren, dass Identitätsgruppen verwendet werden.
Wenn Sie einen Perimeter erstellen oder bearbeiten, wählen Sie in der Trusted Cloud Console Richtlinie für ausgehenden Traffic aus.
Wählen Sie im Abschnitt Von Ihrer Egress-Richtlinie in der Liste Identitäten die Option Identitäten und Gruppen auswählen aus.
Klicken Sie auf Identitäten hinzufügen.
Geben Sie im Bereich Identitäten hinzufügen eine Google-Gruppe oder eine Drittanbieteridentität an, die auf die angegebenen Ressourcen außerhalb des Perimeters zugreifen kann. Verwenden Sie zum Angeben einer Identitätsgruppe das in Unterstützte Identitätsgruppen angegebene Format.
Klicken Sie auf Identitäten hinzufügen.
Klicken Sie auf Speichern.
Informationen zu den anderen Attributen für Regeln für ausgehenden Traffic finden Sie in der Referenz zu Regeln für ausgehenden Traffic.
gcloud
Sie können eine Ausgangsregel so konfigurieren, dass Identitätsgruppen verwendet werden. Dazu können Sie eine JSON-Datei oder eine YAML-Datei verwenden. Im folgenden Beispiel wird das YAML-Format verwendet:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Ersetzen Sie Folgendes:
PRINCIPAL_IDENTIFIER: Geben Sie eine Google-Gruppe oder eine Drittanbieteridentität an, die auf die angegebenen Ressourcen außerhalb des Perimeters zugreifen kann. Verwenden Sie zum Angeben einer Identitätsgruppe das in Unterstützte Identitätsgruppen angegebene Format.
Informationen zu den anderen Attributen für Regeln für ausgehenden Traffic finden Sie in der Referenz zu Regeln für ausgehenden Traffic.
Nachdem Sie eine vorhandene Regel für ausgehenden Traffic aktualisiert haben, um Identitätsgruppen zu konfigurieren, müssen Sie die Regelrichtlinien des Dienstperimeters aktualisieren:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Ersetzen Sie Folgendes:
PERIMETER_ID: Die ID des Dienstperimeters, den Sie aktualisieren möchten.RULE_POLICY: der Pfad der geänderten Datei mit den Regeln für ausgehenden Traffic.
Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.
Unterstützte Identitätsgruppen
VPC Service Controls unterstützt die folgenden Identitätsgruppen aus den IAM v1 API-Prinzipal-IDs:
| Hauptkonto-Typ | ID |
|---|---|
| Gruppe | group:GROUP_EMAIL_ADDRESS |
| Einzelne Identität im Workforce Identity-Pool | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Alle Workforce-Identitäten in einer Gruppe | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
| Alle Workforce-Identitäten mit einem bestimmten Attributwert | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Alle Identitäten in einem Workforce Identity-Pool | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
| Einzelne Identität im Workload Identity-Pool | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Workload Identity-Pool-Gruppe | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
| Alle Identitäten in einem Workload Identity-Pool mit einem bestimmten Attribut | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Alle Identitäten in einem Workload Identity-Pool: | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
Weitere Informationen zu diesen Identitäten finden Sie unter Hauptkonto-IDs für Zulassungsrichtlinien.
Beschränkungen
- Bevor Sie Identitätsgruppen verwenden, sollten Sie sich mit den nicht unterstützten Funktionen in Ingress- und Egress-Regeln vertraut machen.
- Wenn Sie Identitätsgruppen in einer Regel für ausgehenden Traffic verwenden, können Sie das Feld
resourcesim AttributegressTonicht auf"*"festlegen. - Informationen zu Beschränkungen für Regeln für eingehenden und ausgehenden Traffic finden Sie unter Kontingente und Limits.