Para conceder acesso controlado a Trusted Cloud by S3NS recursos protegidos em perímetros de serviço a partir do exterior de um perímetro, use níveis de acesso.
Um nível de acesso define um conjunto de atributos que um pedido tem de cumprir para que o pedido seja respeitado. Os níveis de acesso podem incluir vários critérios, como o endereço IP e a identidade do utilizador.
Para uma vista geral detalhada dos níveis de acesso, leia a vista geral do Gestor de contexto de acesso.
Antes de usar os níveis de acesso no seu perímetro, considere o seguinte:
Os níveis de acesso e as regras de entrada funcionam em conjunto para controlar o tráfego de entrada num perímetro. Os VPC Service Controls permitem um pedido se este cumprir as condições do nível de acesso ou da regra de entrada.
Se adicionar vários níveis de acesso a um perímetro de serviço, o VPC Service Controls permite um pedido se este cumprir as condições de qualquer um dos níveis de acesso.
Limitações da utilização de níveis de acesso com os VPC Service Controls
Quando usar níveis de acesso com os VPC Service Controls, aplicam-se determinadas limitações:
Os níveis de acesso só permitem pedidos fora de um perímetro para os recursos de um serviço protegido dentro de um perímetro.
Não pode usar níveis de acesso para permitir pedidos de um recurso protegido dentro de um perímetro para recursos fora do perímetro. Por exemplo, um cliente do Compute Engine num perímetro de serviço que chama uma operação do Compute Engine
createem que o recurso de imagem está fora do perímetro. Para permitir o acesso a partir de um recurso protegido no interior de um perímetro a recursos fora do perímetro, use uma política de saída.Embora os níveis de acesso sejam usados para permitir pedidos de fora de um perímetro de serviço, não pode usar níveis de acesso para permitir pedidos de outro perímetro a um recurso protegido no seu perímetro. Para permitir pedidos de outro perímetro a recursos protegidos no seu perímetro, o outro perímetro tem de usar uma política de saída. Para mais informações, leia acerca dos pedidos entre perímetros.
Para permitir o acesso ao perímetro a partir de recursos privados implementados num projeto ou numa organização diferente, é necessária uma gateway Cloud NAT no projeto de origem. O Cloud NAT tem uma integração com o acesso privado à Google que ativa automaticamente o acesso privado à Google na sub-rede do recurso e mantém o tráfego para as APIs e os serviços Google internos, em vez de o encaminhar para a Internet através do endereço IP externo do gateway do Cloud NAT. Uma vez que o tráfego é encaminhado na rede interna da Google, o campo
RequestMetadata.caller_ipdo objetoAuditLogé ocultado e apresentado comogce-internal-ip. Em vez de usar o endereço IP externo do gateway Cloud NAT no nível de acesso para a lista de autorizações baseada em IP, configure uma regra de entrada para permitir o acesso com base noutros atributos, como o projeto ou a conta de serviço.
Crie e faça a gestão de níveis de acesso
Os níveis de acesso são criados e geridos através do Gestor de acesso sensível ao contexto.
Crie um nível de acesso
Para criar um nível de acesso, leia sobre como criar um nível de acesso na documentação do Gestor de contexto de acesso.
Os exemplos seguintes explicam como criar um nível de acesso usando diferentes condições:
Adicione níveis de acesso a perímetros de serviço
Pode adicionar níveis de acesso a um perímetro de serviço quando cria o perímetro ou a um perímetro existente:
Leia sobre como adicionar níveis de acesso quando cria um perímetro
Leia sobre como adicionar níveis de acesso a um perímetro existente
Faça a gestão dos níveis de acesso
Para obter informações sobre como listar, modificar e eliminar níveis de acesso existentes, leia o artigo Gerir níveis de acesso.