Halaman ini menjelaskan cara menggunakan grup identitas dalam aturan masuk dan keluar untuk mengizinkan akses ke resource yang dilindungi oleh perimeter layanan.
Kontrol Layanan VPC menggunakan aturan ingress dan egressuntuk mengizinkan akses ke dan dari resource serta klien yang dilindungi oleh perimeter layanan. Untuk lebih memperbaiki akses, Anda dapat menentukan grup identitas dalam aturan masuk dan keluar.
Grup identitas adalah cara mudah untuk menerapkan kontrol akses ke kumpulan pengguna dan memungkinkan Anda mengelola identitas yang memiliki kebijakan akses serupa.
Untuk mengonfigurasi grup identitas dalam aturan ingress atau egress, Anda dapat menggunakan
grup identitas yang didukung berikut dalam atribut identities:
- Grup Google
Identitas pihak ketiga seperti pengguna kumpulan tenaga kerja dan identitas workload.
VPC Service Controls tidak mendukung Workload Identity Federation for GKE.
Untuk mengetahui informasi tentang cara menerapkan kebijakan aturan traffic masuk dan keluar, lihat Mengonfigurasi kebijakan traffic masuk dan keluar.
Sebelum memulai
- Pastikan Anda membaca Aturan traffic masuk dan keluar.
Mengonfigurasi grup identitas dalam aturan masuk
Konsol
Saat memperbarui kebijakan traffic masuk perimeter layanan atau menetapkan kebijakan traffic masuk selama pembuatan perimeter menggunakan konsol Google Cloud , Anda dapat mengonfigurasi aturan traffic masuk untuk menggunakan grup identitas.
Saat Anda membuat perimeter atau mengedit perimeter di Google Cloud konsol, pilih Kebijakan masuk.
Di bagian Dari kebijakan ingress, pilih Pilih identitas & grup dari daftar Identitas.
Klik Tambahkan identitas.
Di panel Tambahkan identitas, tentukan grup Google atau identitas pihak ketiga yang ingin Anda beri akses ke resource dalam perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam Grup identitas yang didukung.
Klik Tambahkan identitas.
Klik Simpan.
Untuk mengetahui informasi tentang atribut aturan ingress lainnya, lihat Referensi aturan ingress.
gcloud
Anda dapat mengonfigurasi aturan ingress untuk menggunakan grup identitas menggunakan file JSON atau file YAML. Contoh berikut menggunakan format YAML:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Ganti kode berikut:
PRINCIPAL_IDENTIFIER: tentukan grup Google atau identitas pihak ketiga yang ingin Anda beri akses ke resource dalam perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam Grup identitas yang didukung.
Untuk mengetahui informasi tentang atribut aturan ingress lainnya, lihat Referensi aturan ingress.
Setelah memperbarui aturan traffic masuk yang ada untuk mengonfigurasi grup identitas, Anda harus memperbarui kebijakan aturan perimeter layanan:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Ganti kode berikut:
PERIMETER_ID: ID perimeter layanan yang ingin Anda perbarui.RULE_POLICY: jalur file aturan ingress yang diubah.
Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan.
Mengonfigurasi grup identitas dalam aturan keluar
Konsol
Saat memperbarui kebijakan traffic keluar perimeter layanan atau menetapkan kebijakan traffic keluar selama pembuatan perimeter menggunakan konsol Google Cloud , Anda dapat mengonfigurasi aturan traffic keluar untuk menggunakan grup identitas.
Saat Anda membuat perimeter atau mengedit perimeter di konsol Google Cloud , pilih Kebijakan egress.
Di bagian Dari kebijakan keluar, pilih Pilih identitas & grup dari daftar Identitas.
Klik Tambahkan identitas.
Di panel Tambahkan identitas, tentukan grup Google atau identitas pihak ketiga yang dapat mengakses resource tertentu di luar perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam Grup identitas yang didukung.
Klik Tambahkan identitas.
Klik Simpan.
Untuk mengetahui informasi tentang atribut aturan traffic keluar lainnya, lihat Referensi aturan traffic keluar.
gcloud
Anda dapat mengonfigurasi aturan traffic keluar untuk menggunakan grup identitas menggunakan file JSON atau file YAML. Contoh berikut menggunakan format YAML:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Ganti kode berikut:
PRINCIPAL_IDENTIFIER: menentukan grup Google atau identitas pihak ketiga yang dapat mengakses resource tertentu di luar perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam Grup identitas yang didukung.
Untuk mengetahui informasi tentang atribut aturan traffic keluar lainnya, lihat Referensi aturan traffic keluar.
Setelah memperbarui aturan traffic keluar yang ada untuk mengonfigurasi grup identitas, Anda perlu memperbarui kebijakan aturan perimeter layanan:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Ganti kode berikut:
PERIMETER_ID: ID perimeter layanan yang ingin Anda perbarui.RULE_POLICY: jalur file aturan keluar yang diubah.
Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan.
Grup identitas yang didukung
Kontrol Layanan VPC mendukung grup identitas berikut dari
ID Principal API v1 IAM:
| Jenis Utama: | ID |
|---|---|
| Grup | group:GROUP_EMAIL_ADDRESS |
| Identitas tunggal dalam workforce identity pool | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Semua identitas workforce dalam grup | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
| Semua identitas workforce dengan nilai atribut tertentu | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Semua identitas dalam workforce identity pool | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
| Identitas tunggal dalam workload identity pool | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Grup workload identity pool | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
| Semua identitas dalam workload identity pool dengan atribut tertentu | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Semua identitas dalam workload identity pool | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
Untuk mengetahui informasi selengkapnya tentang identitas ini, lihat ID utama untuk kebijakan izin.
Batasan
- Sebelum menggunakan grup identitas, pahami fitur yang tidak didukung dalam aturan ingress dan egress.
- Saat menggunakan grup identitas dalam aturan keluar, Anda tidak dapat menyetel kolom
resourcesdi atributegressToke"*". - Untuk mengetahui informasi tentang batas aturan traffic masuk dan keluar, lihat Kuota dan batas.