Периметр сервиса для проекта с пользователями gmail

Question

Наша цель - ограничить подмножество наших групп GCS для использования диапазоном IP-адресов.

У нас есть несколько проектов GCP в университетской лаборатории, связанной с общей учетной записью, где люди обычно используют своиадрес gmail для взаимодействия с ресурсами GCP. Мы считаем, что нам необходимо настроить периметр обслуживания вокруг наших сегментов, используя VPC Service Controls .

VPC Service Controls, кажется, требует организации. Создание организации, кажется, требует GSuite или Cloud Identity. Кажется, что оба эти варианта требуют настройки учетных записей в определенном домене. Я не хочу просить людей создавать дополнительные учетные записи и переходить на их использование.

Есть ли путь к тому, чтобы коллекция пользователей gmail внедрила периметр службы? Или есть другой способ получить ограничение IP-адреса в корзинах GCS?

Answer 1

Для использования средств управления услугами VPC (что позволяет ограничить доступ к корзинам облачного хранилища Google по IP-адресу) вам потребуется организация. Для управления ресурсами для проектов в этой организации допустима любая идентификация Google (gmail, облачная идентификация, G Suite). Объедините два, и у вас есть решение!

Answer 2

Я слышу две вещи ... Я слышу об ограничении доступа к корзинам GCS по исходному IP-адресу запрашивающего, и я слышу об ограничении доступа к корзинам GCS по идентификатору пользователя (адресу gmail). Это две разные истории.

Чтобы ограничить доступ по IP-адресу, мы можем использовать VPC Service Controls и уровни доступа.

См .:

• Созданиеуровень доступа

Для ограничения пользователем также может использоваться та же история, что и выше. Тем не менее, мне кажется, что GCS основан на ресурсах и, как таковой, защищен безопасностью IAM. Это означает, что ресурсы GCS также могут быть защищены путем назначения разрешений отдельным пользователям или группам пользователей.