Akun layanan adalah jenis akun khusus yang biasanya digunakan oleh aplikasi atau workload komputasi, seperti instance Compute Engine, bukan oleh pengguna. Akun layanan diidentifikasi oleh alamat emailnya, yang bersifat unik untuk akun tersebut.
Aplikasi menggunakan akun layanan untuk melakukan panggilan API yang diotorisasi dengan mengautentikasi sebagai akun layanan itu sendiri, atau sebagai pengguna Google Workspace atau Cloud Identity melalui delegasi tingkat domain. Saat aplikasi melakukan autentikasi sebagai akun layanan, aplikasi memiliki akses ke semua resource yang boleh diakses oleh akun layanan.
Anda dapat menggunakan akun layanan untuk mengidentifikasi sumber traffic dan mengonfigurasi kebijakan Proxy Web Aman sesuai kebutuhan.
Panduan ini menunjukkan cara melakukan hal berikut:
- Buat instance Secure Web Proxy dengan kebijakan kosong.
- Membuat dan memasang akun layanan ke resource.
- Menggunakan akun layanan untuk membuat kebijakan Proxy Web Aman.
- Membuat instance Secure Web Proxy.
- Menguji konektivitas dari VM Anda.
Sebelum memulai
Selesaikan langkah-langkah penyiapan awal.
Minta administrator organisasi untuk memberikan akses ke akun layanan.
Pastikan Anda telah menginstal Google Cloud CLI versi 406.0.0 atau yang lebih baru:
gcloud version | head -n1
Jika Anda sudah menginstal versi gcloud CLI sebelumnya, update versinya:
gcloud components update --version=406.0.0
Membuat instance Secure Web Proxy dengan kebijakan kosong
Untuk membuat instance Secure Web Proxy, buat kebijakan keamanan kosong terlebih dahulu, lalu buat proxy web.
Buat kebijakan keamanan kosong
Konsol
Di konsol Google Cloud, buka halaman Keamanan Jaringan.
Klik Secure Web Proxy.
Klik tab Kebijakan.
Klik Create a policy.
Masukkan nama untuk kebijakan yang ingin dibuat, seperti
myswppolicy
.Masukkan deskripsi kebijakan, seperti
My new swp policy
.Dalam daftar Region, pilih region tempat Anda ingin membuat kebijakan.
Klik Create.
Cloud Shell
Gunakan editor teks pilihan Anda untuk membuat file
POLICY_FILE
.yaml. GantiPOLICY_FILE
dengan nama file yang Anda inginkan untuk file kebijakan.Tambahkan baris berikut ke file YAML yang Anda buat:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Ganti kode berikut:
PROJECT_NAME
: nama project AndaREGION
: wilayah tempat kebijakan ini diterapkanPOLICY_NAME
: nama kebijakan yang Anda buatPOLICY_DESCRIPTION
: deskripsi kebijakan yang Anda buat
Impor kebijakan keamanan:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Membuat proxy web
Konsol
Di konsol Google Cloud, buka halaman Keamanan Jaringan.
Klik Secure Web Proxy.
Klik Set up a web proxy.
Masukkan nama untuk proxy web yang ingin Anda buat, seperti
myswp
.Masukkan deskripsi proxy web, seperti
My new swp
.Dalam daftar Region, pilih region tempat Anda ingin membuat proxy web.
Dalam daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.
Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.
Masukkan alamat IP proxy web.
Dalam daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.
Dalam daftar Kebijakan, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.
Klik Create.
Cloud Shell
Gunakan editor teks pilihan Anda untuk membuat file
GATEWAY_FILE
.yaml. GantiGATEWAY_FILE
dengan nama file yang Anda inginkan untuk file proxy web.Tambahkan baris berikut ke file YAML yang Anda buat:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Ganti kode berikut:
GATEWAY_NAME
: nama untuk instance iniGATEWAY_PORT_NUMBERS
: daftar nomor port untuk gateway ini, seperti[80,443]
CERTIFICATE_URLS
: daftar URL sertifikat SSLSUBNET_NAME
: nama subnet yang berisiGATEWAY_IP_ADDRESS
GATEWAY_IP_ADDRESS
: daftar opsional alamat IP untuk instance Secure Web Proxy dalam subnet proxy yang sebelumnya dibuat pada langkah penyiapan awalJika Anda memilih untuk tidak mencantumkan alamat IP, hapus kolom agar proxy web memilih alamat IP untuk Anda.
Buat instance Secure Web Proxy:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Menguji konektivitas
Untuk menguji konektivitas, gunakan perintah curl
dari VM mana pun dalam jaringan Virtual Private Cloud (VPC) Anda:
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Diperkirakan error 403 Forbidden
.
Membuat dan melampirkan akun layanan ke resource
Lakukan hal berikut untuk membuat dan melampirkan akun layanan:
Membuat aturan Proxy Web yang Aman
Untuk membuat aturan Proxy Web yang Aman, lakukan hal berikut:
Gunakan editor teks pilihan Anda untuk membuat file
RULE_FILE
.yaml. GantiRULE_FILE
dengan nama file yang Anda pilih.Untuk mengizinkan akses ke URL dari akun layanan yang dipilih, tambahkan kode berikut ke file YAML:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW
Ganti kode berikut:
RULE_NAME
: nama untuk aturan iniRULE_DESCRIPTION
: deskripsi untuk aturan yang Anda buatRULE_PRIORITY
: prioritas untuk aturan ini; angka yang lebih rendah berarti prioritas yang lebih tinggiCEL_EXPRESSION
: ekspresi {i>Common Expression Language<i} (CEL)Untuk mengetahui informasi selengkapnya, lihat referensi bahasa CEL matcher.
Misalnya, untuk mengizinkan akses ke
example.com
dari resource dengan menyertakan akun layanan yang diinginkan, tambahkan kode berikut ke file YAML yang Anda buat untuksessionMatcher
:sessionMatcher: "source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'example.com'"
Ganti
SERVICE_ACCOUNT
dengan akun layanan yang ingin Anda izinkan. Alamat email ini harus berupa alamat email akun layanan.
Impor aturan yang Anda buat:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Menguji konektivitas
Untuk menguji konektivitas, gunakan perintah curl
dari resource dengan
SERVICE_ACCOUNT
yang terlampir:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Ganti IPv4_ADDRESS
dengan alamat IPv4 instance Secure Web Proxy.