我正在使用服务帐户访问 GCP 资源,例如计算引擎 api、数据存储 api。有没有办法添加 ip 限制,以便我只能从某些特定的 ip 地址集使用服务帐户? 到目前为止,如果我有某些 GCP 资源的服务帐户凭据,那么我可以使用服务帐户从任何地方访问这些资源,我想将其限制为仅一组 ip。
【问题讨论】:
标签: security google-cloud-platform gcloud openvpn google-cloud-networking
有一种称为 VPC 服务控制的功能可以允许特定项目、IP 范围和服务帐户访问受保护项目中的 Google API。
我不能 100% 确定您的特定用例是否可以配置,但请查看此处描述“本地网络”示例的示例:
https://cloud.google.com/vpc-service-controls/docs/private-connectivity#on-premises_network_example
您需要了解Access Levels 和how to attach them to a VPC SC Perimeter
但是,如果使用基于 IP 地址的访问级别和项目周围的边界,您想要做的似乎是完全可能的。
【讨论】:
Google API 不是项目资源。限制对一组 IP 的访问不仅限于您的项目。 IAM 权限是控制访问的方式,而不是基于 IP 的限制。
您不能根据请求者 IP 限制对 API 的访问,只能通过 IAM 权限
【讨论】:
Google Cloud Service 帐户凭据不受用户位置、IP 地址等的限制。一旦您授予凭据权限,就可以在任何可以访问 Google Cloud 的设备上的任何位置使用它们。
AWS 确实提供了一些 IAM 策略,这些策略可以基于 IP 地址应用于某些服务 (S3)。 Google Cloud 尚未提供等效功能。
【讨论】: