我正在使用服务帐户访问 GCP 资源,例如计算引擎 api、数据存储 api。有没有办法添加 ip 限制,以便我只能从某些特定的 ip 地址集使用服务帐户?到目前为止,如果我有一些 GCP 资源的服务帐户凭据,那么我可以使用服务帐户从任何地方访问这些资源,我想将其限制为仅一组 ips。
问问题
2503 次
3 回答
2
有一种称为 VPC 服务控制的功能可以允许特定项目、IP 范围和服务帐户访问受保护项目中的 Google API。
我不能 100% 确定您的特定用例是否可以配置,但请查看此处描述“本地网络”示例的示例:
https://cloud.google.com/vpc-service-controls/docs/private-connectivity#on-premises_network_example
您需要了解访问级别以及如何将它们附加到 VPC SC 边界
但是,使用基于 IP 地址的访问级别和项目周围的边界,您想要做的似乎很可能。
于 2020-01-29T18:21:31.810 回答
1
Google Cloud Service 帐户凭据不能受用户位置、IP 地址等限制。一旦您授予凭据权限,就可以在任何可以访问 Google Cloud 的设备上的任何位置使用它们。
AWS 确实提供了一些 IAM 策略,这些策略可以基于 IP 地址应用于某些服务 (S3)。Google Cloud 尚未提供等效功能。
于 2018-12-07T05:35:42.083 回答
1
Google API 不是项目资源。限制对一组 IP 的访问不仅限于您的项目。IAM 权限是控制访问的方式,而不是基于 IP 的限制。
您不能根据请求者 IP 限制对 API 的访问,只能通过 IAM 权限
于 2018-07-27T20:31:30.590 回答