GCP: ограничение IP-адреса для использования учетной записи службы с ограниченного набора IP-адресов

Я использую сервисные учетные записи для доступа к ресурсам GCP, таким как api вычислительного движка, api хранилища данных. Есть ли способ добавить ограничение IP, чтобы я мог использовать учетную запись службы только с определенного набора IP-адресов? На данный момент, если у меня есть учетные данные учетной записи службы для некоторого ресурса GCP, я могу получить доступ к этим ресурсам из любого места с помощью учетной записи службы, я хочу ограничить ее только набором IP-адресов.


gcloud google-cloud-platform security google-cloud-networking openvpn
person rigal    schedule 26.07.2018    source источник
comment
Было бы полезно прокомментировать, прежде чем голосовать против. Какие бы исследования я ни проводил по этой теме, я обнаружил, что aws обеспечивает ограничение IP для политик IAM. Я хотел знать, возможно ли это также в GCP, поскольку я не мог найти его в документации Google.   -  person rigal    schedule 27.07.2018

Ответы (3)


arrow_upward
1
arrow_downward

API Google не являются ресурсами проекта. Ограничение доступа к набору IP-адресов не будет ограничиваться только вашим проектом. Разрешения IAM - это способ управления доступом, а не ограничения на основе IP.

Вы не можете ограничить доступ к API на основе IP-адреса запрашивающего, только через разрешения IAM.

person Patrick W    schedule 27.07.2018

arrow_upward
1
arrow_downward

Учетные данные учетной записи Google Cloud Service не могут быть ограничены местоположением пользователя, IP-адресом и т. Д. После того, как вы предоставите разрешения для учетных данных, их можно будет использовать из любого места на любом устройстве, имеющем доступ к Google Cloud.

AWS предоставляет некоторые политики IAM, которые могут применяться к некоторым сервисам (S3) на основе IP-адреса. Google Cloud пока не предлагает аналогичной функции.

person John Hanley    schedule 07.12.2018

arrow_upward
1
arrow_downward

Существует возможность под названием VPC Service Controls, которая может разрешить конкретным проектам, диапазонам IP и учетным записям служб иметь доступ к API Google в защищенном проекте.

Я не уверен на 100%, можно ли настроить ваш конкретный вариант использования, но посмотрите здесь пример, описывающий пример локальной сети:

https://cloud.google.com/vpc-service-controls/docs/private-connectivity#on-premises_network_example

вам нужно будет узнать об уровнях доступа и как прикрепить их к периметру VPC SC

но то, что вы хотите сделать, кажется вполне возможным с уровнем доступа на основе IP-адреса и периметром вокруг проекта.

person Java-K    schedule 29.01.2020