Dienstkonten zum Erstellen von Richtlinien verwenden

Ein Dienstkonto ist eine spezielle Art von Konto, das normalerweise von einer Anwendung oder einer Compute-Arbeitslast verwendet wird, z. B. eine Compute Engine-Instanz und keine Person. Ein Dienstkonto wird durch seine E-Mail-Adresse definiert, die für das Konto spezifisch ist.

Anwendungen verwenden Dienstkonten für autorisierte API-Aufrufe, die als Dienstkonto selbst oder als Google Workspace- oder Cloud Identity-Nutzer mithilfe domainweiter Delegation authentifiziert werden. Wenn sich eine Anwendung als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat.

Sie können ein Dienstkonto verwenden, um die Besucherquelle zu ermitteln und Secure Web Proxy-Richtlinien nach Bedarf.

Diese Seite enthält Anleitungen für Folgendes:

  • Erstellen Sie eine Secure Web Proxy-Instanz mit einer leeren Richtlinie.
  • Dienstkonten erstellen und an Ressourcen anhängen
  • Verwenden Sie Dienstkonten, um eine Secure Web Proxy-Richtlinie zu erstellen.
  • Erstellen Sie eine Secure Web Proxy-Instanz.
  • Testen Sie die Verbindung von Ihren VMs.

Hinweise

  • Schließen Sie die Ersteinrichtung ab Schritte

  • Einen Organisationsadministrator haben Zugriff auf ein Dienstkonto gewähren

  • Prüfen Sie, ob die Google Cloud CLI Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1

    Wenn Sie eine frühere Version der gcloud CLI installiert haben, aktualisieren Sie die Version:

    gcloud components update --version=406.0.0

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Erstellen Sie zuerst eine leere Sicherheitsrichtlinie, um eine Secure Web Proxy-Instanz zu erstellen und dann einen Web-Proxy erstellen.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, wie myswppolicy.

  6. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie den erstellen Sie die Richtlinie.

  8. Klicken Sie auf Erstellen.

Cloud Shell

  1. Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen. POLICY_FILE.yaml. Ersetzen POLICY_FILE durch den Dateinamen, der für die Richtliniendatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts
    • REGION: Region, für die diese Richtlinie gilt
    • POLICY_NAME: der Name Ihrer Richtlinie wird erstellt
    • POLICY_DESCRIPTION: die Beschreibung des die Sie erstellen,

  3. Importieren Sie die Sicherheitsrichtlinie:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Klicken Sie auf Web-Proxy einrichten.

  4. Geben Sie einen Namen für den zu erstellenden Web-Proxy ein. wie myswp.

  5. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Erstellen Sie den Web-Proxy.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, für das Sie Erstellen Sie den Web-Proxy.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, für das Sie Erstellen Sie den Web-Proxy.

  9. Geben Sie die IP-Adresse des Web-Proxys ein.

  10. Wählen Sie in der Liste Zertifikat das gewünschte Zertifikat aus. zum Erstellen des Web-Proxys.

  11. Wähle in der Liste Richtlinie die Richtlinie aus, die du erstellt hast. mit dem der Web-Proxy verknüpft werden soll.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen. GATEWAY_FILE.yaml. Ersetzen GATEWAY_FILE durch den Dateinamen, den Sie für die Web-Proxy-Datei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: der Name für diese Instanz
    • GATEWAY_PORT_NUMBERS: eine Liste der Portnummern für dieses Gateway, z. B. [80,443]
    • CERTIFICATE_URLS: eine Liste von SSL-Zertifikaten URLs

    • SUBNET_NAME ist der Name des Subnetzes, das enthält GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: eine optionale Liste von IP-Adressen Adressen für Ihre Secure Web Proxy-Instanzen innerhalb des Proxys Subnetze, die zuvor im Ersteinrichtungsschritte

      Wenn Sie keine IP-Adressen auflisten, lassen Sie das Feld aus, damit der Web-Proxy eine IP-Adresse für Sie auswählt.

  3. Erstellen Sie eine Secure Web Proxy-Instanz:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Verbindung testen

Testen Sie die Verbindung mit dem Befehl curl auf einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Es wird ein 403 Forbidden-Fehler erwartet.

Dienstkonten erstellen und an Ressourcen anhängen

So erstellen Sie Dienstkonten und hängen sie an:

  1. Erstellen Sie die Dienstkonten.

  2. Dienstkonten an Ressourcen anhängen

Secure Web Proxy-Regeln erstellen

So erstellen Sie Secure Web Proxy-Regeln:

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor ein RULE_FILE.yaml-Datei angegeben werden. Ersetzen RULE_FILE durch den ausgewählten Dateinamen.

  2. Fügen Sie Folgendes hinzu, um über das ausgewählte Dienstkonto Zugriff auf eine URL zu gewähren in die YAML-Datei ein:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Ersetzen Sie Folgendes:

    • RULE_NAME: ein Name für diese Regel
    • RULE_DESCRIPTION: eine Beschreibung für das Regel erstellen, die Sie erstellen,
    • RULE_PRIORITY: Priorität dieser Regel Eine niedrigere Zahl entspricht einer höheren Priorität.

    • CEL_EXPRESSION: ein häufiger Ausdruck Sprachausdruck (CEL)

      Weitere Informationen finden Sie unter CEL-Matcher. Sprachreferenz.

      Wenn Sie beispielsweise den Zugriff auf example.com von der Ressource mit dem Gewünschtes Dienstkonto angehängt, fügen Sie der YAML-Datei Folgendes hinzu: die Sie für sessionMatcher erstellt haben:

      sessionMatcher: "source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'example.com'"

      Ersetzen Sie SERVICE_ACCOUNT durch das Dienstkonto die Sie zulassen möchten. Das muss die E-Mail-Adresse des Dienstkontos sein Adresse.

  3. Importieren Sie die von Ihnen erstellten Regeln:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Verbindung testen

Testen Sie die Konnektivität, indem Sie den Befehl curl aus der Ressource mit dem hat SERVICE_ACCOUNT angehängt:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Ersetzen Sie IPv4_ADDRESS durch die IPv4-Adresse Ihres Secure Web Proxy-Instanz.

Nächste Schritte