Questa pagina descrive come utilizzare i gruppi di identità nelle regole di ingresso e di uscita per consentire l'accesso alle risorse protette dai perimetri di servizio.
Controlli di servizio VPC utilizza regole di ingresso e uscita per consentire l'accesso alle risorse e ai client protetti dai perimetri di servizio e da questi ultimi. Per perfezionare ulteriormente l'accesso, puoi specificare i gruppi di identità nelle regole di ingresso e di uscita.
Un gruppo di identità è un modo conveniente per applicare controlli dell'accesso a un insieme di utenti e consente di gestire le identità con criteri di accesso simili.
Per configurare i gruppi di identità nelle regole di ingresso o di uscita, puoi utilizzare i
seguenti gruppi di identità supportati nell'attributo identities:
- Gruppo Google
Identità di terze parti come utenti del pool di forza lavoro e identità del workload.
Controlli di servizio VPC non supporta Workload Identity Federation for GKE.
Per informazioni su come applicare i criteri per le regole di traffico in entrata e in uscita, vedi Configurazione dei criteri per il traffico in entrata e in uscita.
Prima di iniziare
- Assicurati di leggere le regole per il traffico in entrata e in uscita.
Configurare i gruppi di identità nelle regole di ingresso
Console
Quando aggiorni una policy in entrata di un perimetro di servizio o imposti una policy in entrata durante la creazione del perimetro utilizzando la console Trusted Cloud , puoi configurare la regola in entrata in modo che utilizzi i gruppi di identità.
Quando crei o modifichi un perimetro nella console Trusted Cloud , seleziona Policy di Ingress.
Nella sezione Da del criterio di ingresso, seleziona Seleziona identità e gruppi dall'elenco Identità.
Fai clic su Aggiungi identità.
Nel riquadro Aggiungi identità, specifica un gruppo Google o un'identità di terze parti a cui vuoi fornire l'accesso alle risorse nel perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Gruppi di identità supportati.
Fai clic su Aggiungi identità.
Fai clic su Salva.
Per informazioni sugli altri attributi delle regole di ingresso, consulta Riferimento alle regole di ingresso.
gcloud
Puoi configurare una regola di ingresso per utilizzare i gruppi di identità utilizzando un file JSON o un file YAML. L'esempio seguente utilizza il formato YAML:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Sostituisci quanto segue:
PRINCIPAL_IDENTIFIER: specifica un gruppo Google o un'identità di terze parti a cui vuoi fornire l'accesso alle risorse nel perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Gruppi di identità supportati.
Per informazioni sugli altri attributi delle regole di ingresso, consulta Riferimento alle regole di ingresso.
Dopo aver aggiornato una regola di ingresso esistente per configurare i gruppi di identità, devi aggiornare i criteri della regola del perimetro di servizio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro di servizio che vuoi aggiornare.RULE_POLICY: il percorso del file della regola di ingresso modificata.
Per ulteriori informazioni, consulta Aggiornamento delle policy in entrata e in uscita per un perimetro di servizio.
Configurare i gruppi di identità nelle regole di uscita
Console
Quando aggiorni una policy di uscita di un perimetro di servizio o imposti una policy di uscita durante la creazione del perimetro utilizzando la console Trusted Cloud , puoi configurare la regola di uscita in modo che utilizzi i gruppi di identità.
Quando crei o modifichi un perimetro nella Trusted Cloud console, seleziona Policy di uscita.
Nella sezione Da dei criteri di uscita, seleziona Seleziona identità e gruppi dall'elenco Identità.
Fai clic su Aggiungi identità.
Nel riquadro Aggiungi identità, specifica un gruppo Google o un'identità di terze parti che può accedere alle risorse specificate al di fuori del perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Gruppi di identità supportati.
Fai clic su Aggiungi identità.
Fai clic su Salva.
Per informazioni sugli altri attributi della regola in uscita, consulta Riferimento alle regole in uscita.
gcloud
Puoi configurare una regola di uscita per utilizzare i gruppi di identità utilizzando un file JSON o un file YAML. L'esempio seguente utilizza il formato YAML:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Sostituisci quanto segue:
PRINCIPAL_IDENTIFIER: specifica un gruppo Google o un'identità di terze parti che può accedere alle risorse specificate al di fuori del perimetro. Per specificare un gruppo di identità, utilizza il formato specificato in Gruppi di identità supportati.
Per informazioni sugli altri attributi della regola in uscita, consulta Riferimento alle regole in uscita.
Dopo aver aggiornato una regola di uscita esistente per configurare i gruppi di identità, devi aggiornare i criteri della regola delperimetro di servizior:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro di servizio che vuoi aggiornare.RULE_POLICY: il percorso del file della regola in uscita modificata.
Per ulteriori informazioni, consulta Aggiornamento delle policy in entrata e in uscita per un perimetro di servizio.
Gruppi di identità supportati
Controlli di servizio VPC supporta i seguenti gruppi di identità dagli
identificatori delle entità API IAM v1:
| Tipo di entità | Identificatore |
|---|---|
| Gruppo | group:GROUP_EMAIL_ADDRESS |
| Singola identità in un pool di identità per la forza lavoro | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Tutte le identità della forza lavoro in un gruppo | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
| Tutte le identità della forza lavoro con un valore di attributo specifico | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Tutte le identità in un pool di identità della forza lavoro | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
| Singola identità in un pool di identità del workload | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Gruppo di pool di identità del workload | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
| Tutte le identità in un pool di identità del workload con un determinato attributo | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Tutte le identità in un pool di identità del workload | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
Per ulteriori informazioni su queste identità, consulta Identificatori delle entità per le norme di autorizzazione.
Limitazioni
- Prima di utilizzare i gruppi di identità, comprendi le funzionalità non supportate nelle regole di ingresso e di uscita.
- Quando utilizzi i gruppi di identità in una regola di uscita, non puoi impostare il
campo
resourcesnell'attributoegressTosu"*". - Per informazioni sui limiti delle regole di ingresso e di uscita, consulta Quote e limiti.