יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת קבוצות זהויות וזהויות מצד שלישי בכללים לתעבורת נתונים נכנסת ויוצאת

בדף הזה מוסבר איך להשתמש בקבוצות זהויות בכללים לתעבורת נתונים נכנסת ויוצאת כדי לאפשר גישה למשאבים שמוגנים על ידי גבולות גזרה לשירותים.

ב-VPC Service Controls נעשה שימוש בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) כדי לאפשר גישה למשאבים וללקוחות שמוגנים על ידי גבולות גזרה לשירות, וממשאבים וללקוחות כאלה. כדי לצמצם עוד יותר את הגישה, אפשר לציין קבוצות זהויות בכללי הכניסה והיציאה.

קבוצת זהויות היא דרך נוחה להחיל בקרת גישה על אוסף של משתמשים, והיא מאפשרת לכם לנהל זהויות שיש להן מדיניות גישה דומה.

כדי להגדיר קבוצות זהויות בכללי הכניסה או היציאה, אפשר להשתמש בקבוצות הזהויות הנתמכות הבאות במאפיין identities:

קבוצת Google
זהויות של צד שלישי, כמו משתמשים במאגר כוח העבודה וזהויות של עומסי עבודה.

שירות VPC Service Controls לא תומך באיחוד זהויות של עומסי עבודה ל-GKE.

מידע על הפורמטים של מזהי ישות מורשית של קבוצות זהויות נתמכות מופיע במאמר זהויות נתמכות לכללי תעבורת נתונים נכנסת ותעבורת נתונים יוצאת.

מידע על החלת כללי מדיניות לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) זמין במאמר בנושא הגדרת כללי מדיניות לתעבורת נתונים נכנסת ויוצאת.

לפני שמתחילים

חשוב לקרוא את הכללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress).

הגדרת קבוצות זהויות בכללי כניסה

המסוף

כשמעדכנים מדיניות כניסה של היקף שירות או מגדירים מדיניות כניסה במהלך יצירת היקף באמצעות מסוף Cloud de Confiance , אפשר להגדיר את כלל הכניסה כך שישתמש בקבוצות זהויות.

כשיוצרים או עורכים היקף ב- Cloud de Confiance console, בוחרים באפשרות Ingress policy.
בקטע From במדיניות הכניסה, בוחרים באפשרות Select identities & groups (בחירת זהויות וקבוצות) מהרשימה Identities (זהויות).
לוחצים על הוספת זהויות.
בחלונית הוספת זהויות, מציינים קבוצה ב-Google או זהות של צד שלישי שרוצים להעניק לה גישה למשאבים בגבולות הגזרה. כדי לציין קבוצת זהויות, משתמשים בפורמט שמופיע בזהויות נתמכות.
לוחצים על הוספת זהויות.
לוחצים על Save.

מידע על מאפיינים אחרים של כללי תעבורה נכנסת מופיע במאמר חומר עזר בנושא כללי תעבורה נכנסת.

gcloud

אפשר להגדיר כלל כניסה לשימוש בקבוצות זהויות באמצעות קובץ JSON או קובץ YAML. בדוגמה הבאה נעשה שימוש בפורמט YAML:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

‫PRINCIPAL_IDENTIFIER: מציינים קבוצה ב-Google או זהות של צד שלישי שרוצים להעניק לה גישה למשאבים בטווח. כדי לציין קבוצת זהויות, משתמשים בפורמט שמופיע בזהויות נתמכות.

מידע על מאפיינים אחרים של כללי תעבורה נכנסת מופיע במאמר חומר עזר בנושא כללי תעבורה נכנסת.

אחרי שמעדכנים כלל קיים של תעבורת נתונים נכנסת (ingress) כדי להגדיר קבוצות זהויות, צריך לעדכן את כללי המדיניות של גבולות הגזרה לשירות:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

מחליפים את מה שכתוב בשדות הבאים:

‫PERIMETER_ID: המזהה של גבולות גזרה לשירות שרוצים לעדכן.
‫RULE_POLICY: הנתיב של קובץ כלל הכניסה ששוּנה.

מידע נוסף זמין במאמר עדכון מדיניות הכניסה והיציאה של היקף שירות.

הגדרת קבוצות זהויות בכללי יציאה

המסוף

כשמעדכנים מדיניות יציאה של היקף שירות או מגדירים מדיניות יציאה במהלך יצירת היקף שירות באמצעות מסוף Cloud de Confiance , אפשר להגדיר את כלל היציאה כך שישתמש בקבוצות זהויות.

כשיוצרים או עורכים היקף ב Cloud de Confiance מסוף, בוחרים באפשרות מדיניות יציאה.
בקטע מ במדיניות היציאה, בוחרים באפשרות בחירת זהויות וקבוצות מהרשימה זהויות.
לוחצים על הוספת זהויות.
בחלונית הוספת זהויות, מציינים קבוצה ב-Google או זהות של צד שלישי שיכולה לגשת למשאבים שצוינו מחוץ לגבולות גזרה. כדי לציין קבוצת זהויות, משתמשים בפורמט שמופיע בזהויות נתמכות.
לוחצים על הוספת זהויות.
לוחצים על Save.

מידע על מאפיינים אחרים של כללי יציאה מופיע במאמר הפניה לכללי יציאה.

gcloud

אפשר להגדיר כלל יציאה כך שישתמש בקבוצות זהויות באמצעות קובץ JSON או קובץ YAML. בדוגמה הבאה נעשה שימוש בפורמט YAML:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

מחליפים את מה שכתוב בשדות הבאים:

‫PRINCIPAL_IDENTIFIER: מציינים קבוצת Google או זהות של צד שלישי שיכולים לגשת למשאבים שצוינו מחוץ לגבולות. כדי לציין קבוצת זהויות, משתמשים בפורמט שמופיע בזהויות נתמכות.

מידע על מאפיינים אחרים של כללי יציאה מופיע במאמר הפניה לכללי יציאה.

אחרי שמעדכנים כלל יציאה קיים כדי להגדיר קבוצות זהויות, צריך לעדכן את כללי המדיניות של היקף בקרת הגישה לשירות:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

מחליפים את מה שכתוב בשדות הבאים:

‫PERIMETER_ID: המזהה של גבולות גזרה לשירות שרוצים לעדכן.
‫RULE_POLICY: הנתיב של קובץ כלל היציאה ששוּנה.

מידע נוסף זמין במאמר עדכון מדיניות הכניסה והיציאה של היקף שירות.

מגבלות

לפני שמשתמשים בקבוצות זהויות, חשוב להבין את התכונות שלא נתמכות בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress).
כשמשתמשים בקבוצות זהויות בכלל יציאה, אי אפשר להגדיר את השדה resources במאפיין egressTo לערך "*".
אי אפשר להשתמש ב-Workload Identity בכללי כניסה ויציאה כדי לאפשר פעולות של ממשק האינטרנט של Apache Airflow ב-Managed Airflow. עם זאת, אפשר להשתמש בANY_IDENTITYסוג הזהות בכללי כניסה ויציאה כדי לאפשר גישה לכל הזהויות, כולל זהויות של עומסי עבודה. מידע נוסף על סוג הזהות ANY_IDENTITY זמין במאמר כללי כניסה ויציאה.
מידע על מגבלות של כללי תעבורה נכנסת ותעבורה יוצאת זמין במאמר מכסות ומגבלות.

המאמרים הבאים

דוגמה לשימוש בקבוצות זהויות ובזהויות צד שלישי בכללי כניסה ויציאה
בסרטון הבא אתם יכולים ללמוד איך משתמשים בקבוצות זהויות בכללי כניסה ויציאה.