我正在使用服务帐户来访问GCP资源,例如计算引擎api,数据存储api。有什么方法可以添加IP限制,以便我只能使用某些特定IP地址集中的服务帐户? 到目前为止,如果我具有某些GCP资源的服务帐户凭据,则可以使用服务帐户从任何位置访问这些资源,我希望将其限制为仅一组ips。
答案 0 :(得分:1)
有一项称为VPC服务控件的功能,该功能可以允许特定项目,IP范围和服务帐户访问受保护项目中的Google API。
我不确定100%是否可以配置您的特定用例,但请查看此处描述“内部部署网络”示例的示例:
https://cloud.google.com/vpc-service-controls/docs/private-connectivity#on-premises_network_example
您需要了解Access Levels和how to attach them to a VPC SC Perimeter
但是您希望通过基于IP地址的访问级别和项目周围的周边区域来完成的工作。
答案 1 :(得分:0)
Google API不是项目资源。限制访问一组IP不仅限于您的项目。 IAM权限是控制访问方式而不是基于IP的限制的方式。
您不能仅通过IAM权限来限制基于请求者IP的API的访问权限
答案 2 :(得分:0)
Google Cloud Service帐户凭据不能受到用户位置,IP地址等的限制。授予凭据权限后,就可以在有权访问Google Cloud的任何设备上的任何位置使用它们。
AWS确实提供了一些IAM策略,这些策略可以基于IP地址应用于某些服务(S3)。 Google Cloud尚不提供等效功能。