Ein Dienstkonto ist eine spezielle Art von Konto, das normalerweise von einer Anwendung oder einer Compute-Arbeitslast verwendet wird, z. B. eine Compute Engine-Instanz und keine Person. Ein Dienstkonto wird durch seine E-Mail-Adresse definiert, die für das Konto spezifisch ist.
Anwendungen verwenden Dienstkonten für autorisierte API-Aufrufe, die als Dienstkonto selbst oder als Google Workspace- oder Cloud Identity-Nutzer mithilfe domainweiter Delegation authentifiziert werden. Wenn sich eine Anwendung als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat.
Sie können ein Dienstkonto verwenden, um die Besucherquelle zu ermitteln und Secure Web Proxy-Richtlinien nach Bedarf.
Diese Seite enthält Anleitungen für Folgendes:
- Erstellen Sie eine Secure Web Proxy-Instanz mit einer leeren Richtlinie.
- Dienstkonten erstellen und an Ressourcen anhängen
- Verwenden Sie Dienstkonten, um eine Secure Web Proxy-Richtlinie zu erstellen.
- Erstellen Sie eine Secure Web Proxy-Instanz.
- Testen Sie die Verbindung von Ihren VMs.
Hinweise
Schließen Sie die Ersteinrichtung ab Schritte
Einen Organisationsadministrator haben Zugriff auf ein Dienstkonto gewähren
Prüfen Sie, ob die Google Cloud CLI Version 406.0.0 oder höher installiert ist:
gcloud version | head -n1
Wenn Sie eine frühere Version der gcloud CLI installiert haben, aktualisieren Sie die Version:
gcloud components update --version=406.0.0
Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen
Erstellen Sie zuerst eine leere Sicherheitsrichtlinie, um eine Secure Web Proxy-Instanz zu erstellen und dann einen Web-Proxy erstellen.
Leere Sicherheitsrichtlinie erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, wie
myswppolicy
.Geben Sie eine Beschreibung der Richtlinie ein, z. B.
My new swp policy
Wählen Sie in der Liste Regionen die Region aus, in der Sie den erstellen Sie die Richtlinie.
Klicken Sie auf Erstellen.
Cloud Shell
Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen.
POLICY_FILE
.yaml. ErsetzenPOLICY_FILE
durch den Dateinamen, der für die Richtliniendatei.Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Ersetzen Sie Folgendes:
PROJECT_NAME
: Name Ihres ProjektsREGION
: Region, für die diese Richtlinie giltPOLICY_NAME
: der Name Ihrer Richtlinie wird erstelltPOLICY_DESCRIPTION
: die Beschreibung des die Sie erstellen,
Importieren Sie die Sicherheitsrichtlinie:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Web-Proxy erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf Web-Proxy einrichten.
Geben Sie einen Namen für den zu erstellenden Web-Proxy ein. wie
myswp
.Geben Sie eine Beschreibung des Web-Proxys ein, z. B.
My new swp
.Wählen Sie in der Liste Regionen die Region aus, in der Sie den Erstellen Sie den Web-Proxy.
Wählen Sie in der Liste Netzwerk das Netzwerk aus, für das Sie Erstellen Sie den Web-Proxy.
Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, für das Sie Erstellen Sie den Web-Proxy.
Geben Sie die IP-Adresse des Web-Proxys ein.
Wählen Sie in der Liste Zertifikat das gewünschte Zertifikat aus. zum Erstellen des Web-Proxys.
Wähle in der Liste Richtlinie die Richtlinie aus, die du erstellt hast. mit dem der Web-Proxy verknüpft werden soll.
Klicken Sie auf Erstellen.
Cloud Shell
Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen.
GATEWAY_FILE
.yaml. ErsetzenGATEWAY_FILE
durch den Dateinamen, den Sie für die Web-Proxy-Datei.Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Ersetzen Sie Folgendes:
GATEWAY_NAME
: der Name für diese InstanzGATEWAY_PORT_NUMBERS
: eine Liste der Portnummern für dieses Gateway, z. B.[80,443]
CERTIFICATE_URLS
: eine Liste von SSL-Zertifikaten URLsSUBNET_NAME
ist der Name des Subnetzes, das enthältGATEWAY_IP_ADDRESS
GATEWAY_IP_ADDRESS
: eine optionale Liste von IP-Adressen Adressen für Ihre Secure Web Proxy-Instanzen innerhalb des Proxys Subnetze, die zuvor im ErsteinrichtungsschritteWenn Sie keine IP-Adressen auflisten, lassen Sie das Feld aus, damit der Web-Proxy eine IP-Adresse für Sie auswählt.
Erstellen Sie eine Secure Web Proxy-Instanz:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Verbindung testen
Testen Sie die Verbindung mit dem Befehl curl
auf einer beliebigen VM in Ihrem
VPC-Netzwerk (Virtual Private Cloud):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Es wird ein 403 Forbidden
-Fehler erwartet.
Dienstkonten erstellen und an Ressourcen anhängen
So erstellen Sie Dienstkonten und hängen sie an:
Secure Web Proxy-Regeln erstellen
So erstellen Sie Secure Web Proxy-Regeln:
Erstellen Sie mit Ihrem bevorzugten Texteditor ein
RULE_FILE
.yaml-Datei angegeben werden. ErsetzenRULE_FILE
durch den ausgewählten Dateinamen.Fügen Sie Folgendes hinzu, um über das ausgewählte Dienstkonto Zugriff auf eine URL zu gewähren in die YAML-Datei ein:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW
Ersetzen Sie Folgendes:
RULE_NAME
: ein Name für diese RegelRULE_DESCRIPTION
: eine Beschreibung für das Regel erstellen, die Sie erstellen,RULE_PRIORITY
: Priorität dieser Regel Eine niedrigere Zahl entspricht einer höheren Priorität.CEL_EXPRESSION
: ein häufiger Ausdruck Sprachausdruck (CEL)Weitere Informationen finden Sie unter CEL-Matcher. Sprachreferenz.
Wenn Sie beispielsweise den Zugriff auf
example.com
von der Ressource mit dem Gewünschtes Dienstkonto angehängt, fügen Sie der YAML-Datei Folgendes hinzu: die Sie fürsessionMatcher
erstellt haben:sessionMatcher: "source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'example.com'"
Ersetzen Sie
SERVICE_ACCOUNT
durch das Dienstkonto die Sie zulassen möchten. Das muss die E-Mail-Adresse des Dienstkontos sein Adresse.
Importieren Sie die von Ihnen erstellten Regeln:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Verbindung testen
Testen Sie die Konnektivität, indem Sie den Befehl curl
aus der Ressource mit dem
hat SERVICE_ACCOUNT
angehängt:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Ersetzen Sie IPv4_ADDRESS
durch die IPv4-Adresse Ihres
Secure Web Proxy-Instanz.
Nächste Schritte
- Richtlinien mithilfe einer URL-Liste erstellen
- Statische IP-Adressen für ausgehenden Traffic zuweisen