Я использую сервисные учетные записи для доступа к ресурсам GCP, таким как api вычислительного движка, api хранилища данных. Есть ли способ добавить ограничение IP, чтобы я мог использовать учетную запись службы только с определенного набора IP-адресов? На данный момент, если у меня есть учетные данные учетной записи службы для некоторого ресурса GCP, я могу получить доступ к этим ресурсам из любого места с помощью учетной записи службы, я хочу ограничить ее только набором IP-адресов.
GCP: ограничение IP-адреса для использования учетной записи службы с ограниченного набора IP-адресов
Ответы (3)
API Google не являются ресурсами проекта. Ограничение доступа к набору IP-адресов не будет ограничиваться только вашим проектом. Разрешения IAM - это способ управления доступом, а не ограничения на основе IP.
Вы не можете ограничить доступ к API на основе IP-адреса запрашивающего, только через разрешения IAM.
Учетные данные учетной записи Google Cloud Service не могут быть ограничены местоположением пользователя, IP-адресом и т. Д. После того, как вы предоставите разрешения для учетных данных, их можно будет использовать из любого места на любом устройстве, имеющем доступ к Google Cloud.
AWS предоставляет некоторые политики IAM, которые могут применяться к некоторым сервисам (S3) на основе IP-адреса. Google Cloud пока не предлагает аналогичной функции.
Существует возможность под названием VPC Service Controls, которая может разрешить конкретным проектам, диапазонам IP и учетным записям служб иметь доступ к API Google в защищенном проекте.
Я не уверен на 100%, можно ли настроить ваш конкретный вариант использования, но посмотрите здесь пример, описывающий пример локальной сети:
https://cloud.google.com/vpc-service-controls/docs/private-connectivity#on-premises_network_example
вам нужно будет узнать об уровнях доступа и как прикрепить их к периметру VPC SC
но то, что вы хотите сделать, кажется вполне возможным с уровнем доступа на основе IP-адреса и периметром вокруг проекта.