En esta página, se describe cómo usar grupos de identidades en las reglas de entrada y salida para permitir el acceso a los recursos protegidos por perímetros de servicio.
Los Controles del servicio de VPC usan reglas de entrada y salida para permitir el acceso desde y hacia los recursos y los clientes protegidos por los perímetros de servicio. Para definir el acceso con mayor precisión, puedes especificar grupos de identidades en tus reglas de entrada y salida.
Un grupo de identidades es una forma conveniente de aplicar controles de acceso a un grupo de usuarios y te permite administrar identidades que tienen políticas de acceso similares.
Para configurar grupos de identidades en las reglas de entrada o salida, puedes usar los siguientes grupos de identidades compatibles en el atributo identities:
- Grupo de Google
Identidades externas, como usuarios del grupo de personal y identidades para cargas de trabajo
Los Controles del servicio de VPC no admiten la federación de identidades para cargas de trabajo para GKE.
Para obtener información sobre cómo aplicar las políticas de reglas de entrada y salida, consulta Configura políticas de entrada y salida.
Antes de comenzar
- Asegúrate de leer las reglas de entrada y salida.
Configura grupos de identidad en reglas de entrada
Console
Cuando actualizas una política de entrada de un perímetro de servicio o estableces una política de entrada durante la creación del perímetro con la consola de Trusted Cloud , puedes configurar la regla de entrada para que use grupos de identidades.
Cuando crees o edites un perímetro en la consola de Trusted Cloud , selecciona Política de entrada.
En la sección From de tu política de ingreso, selecciona Select identities & groups en la lista Identities.
Haz clic en Agregar identidades.
En el panel Agregar identidades, especifica un grupo de Google o una identidad de terceros a los que deseas brindar acceso a los recursos del perímetro. Para especificar un grupo de identidades, usa el formato que se especifica en Grupos de identidades admitidos.
Haz clic en Agregar identidades.
Haz clic en Guardar.
Para obtener información sobre los otros atributos de reglas de entrada, consulta la Referencia de reglas de entrada.
gcloud
Puedes configurar una regla de entrada para usar grupos de identidades con un archivo JSON o YAML. En el siguiente ejemplo, se usa el formato YAML:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Reemplaza lo siguiente:
PRINCIPAL_IDENTIFIER: Especifica un grupo de Google o una identidad de terceros a la que deseas proporcionar acceso a los recursos del perímetro. Para especificar un grupo de identidades, usa el formato que se especifica en Grupos de identidades admitidos.
Para obtener información sobre los otros atributos de reglas de entrada, consulta la Referencia de reglas de entrada.
Después de actualizar una regla de ingreso existente para configurar grupos de identidades, debes actualizar las políticas de reglas del perímetro de servicio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Reemplaza lo siguiente:
PERIMETER_ID: Es el ID del perímetro de servicio que deseas actualizar.RULE_POLICY: Es la ruta de acceso al archivo de regla de entrada modificado.
Para obtener más información, consulta Actualiza las políticas de entrada y salida para un perímetro de servicio.
Configura grupos de identidades en reglas de salida
Console
Cuando actualizas una política de salida de un perímetro de servicio o estableces una política de salida durante la creación del perímetro con la consola de Trusted Cloud , puedes configurar la regla de salida para que use grupos de identidades.
Cuando crees o edites un perímetro en la consola de Trusted Cloud , selecciona Política de salida.
En la sección From de tu política de salida, selecciona Select identities & groups en la lista Identities.
Haz clic en Agregar identidades.
En el panel Agregar identidades, especifica un grupo de Google o una identidad de terceros que pueda acceder a los recursos especificados fuera del perímetro. Para especificar un grupo de identidades, usa el formato que se especifica en Grupos de identidades admitidos.
Haz clic en Agregar identidades.
Haz clic en Guardar.
Para obtener información sobre los otros atributos de reglas de salida, consulta Referencia de reglas de salida.
gcloud
Puedes configurar una regla de salida para usar grupos de identidades con un archivo JSON o YAML. En el siguiente ejemplo, se usa el formato YAML:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Reemplaza lo siguiente:
PRINCIPAL_IDENTIFIER: Especifica un Grupo de Google o una identidad de terceros que puede acceder a los recursos especificados fuera del perímetro. Para especificar un grupo de identidades, usa el formato que se especifica en Grupos de identidades admitidos.
Para obtener información sobre los otros atributos de reglas de salida, consulta Referencia de reglas de salida.
Después de actualizar una regla de salida existente para configurar grupos de identidades, debes actualizar las políticas de reglas del perímetro de servicio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Reemplaza lo siguiente:
PERIMETER_ID: Es el ID del perímetro de servicio que deseas actualizar.RULE_POLICY: Es la ruta de acceso al archivo de regla de salida modificado.
Para obtener más información, consulta Actualiza las políticas de entrada y salida para un perímetro de servicio.
Grupos de identidad admitidos
Los Controles del servicio de VPC admiten los siguientes grupos de identidades de los identificadores de principales de la API de IAM:v1
| Tipo de principal | Identificador |
|---|---|
| Grupo | group:GROUP_EMAIL_ADDRESS |
| Identidad única en un grupo de identidad de personal | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Todas las identidades del personal de un grupo | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
| Todas las identidades del personal con un valor de atributo específico | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Todas las identidades en un grupo de identidad de personal | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
| Identidad única en un grupo de Workload Identity | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Grupo de grupos de Workload Identity | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
| Todas las identidades de un grupo de Workload Identity con un atributo determinado | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Todas las identidades en un grupo de Workload Identity: | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
Para obtener más información sobre estas identidades, consulta Identificadores principales para políticas de permiso.
Limitaciones
- Antes de usar grupos de identidades, comprende las funciones no admitidas en las reglas de entrada y salida.
- Cuando usas grupos de identidades en una regla de salida, no puedes establecer el campo
resourcesen el atributoegressTocomo"*". - Para obtener información sobre los límites de las reglas de entrada y salida, consulta Cuotas y límites.