堆栈内存溢出
  简体   繁体   English

按位置限制对 GCP 组织和项目资源的访问

[英]Restrict access to GCP organisation and project resources by location

 原文  2022-03-02 12:05:52       google-cloud-platform/ google-workspace

问题描述

Is it possible with Workspace and GCP to restrict geographical where a user can access projects and resources from? Workspace 和 GCP 是否可以限制用户访问项目和资源的地理位置?

For example, all users in the Workspace should only be able to access GCP resources from Australia.例如,Workspace 中的所有用户应该只能从澳大利亚访问 GCP 资源。 User A decides to go on holiday to USA but will do some remote work.用户 A 决定拨打 go 去美国度假,但会做一些远程工作。 Their access should be blocked to select Workspace and GCP resources unless over ruled (ie. User A enabled access from USA).他们的访问应该被阻止到 select 工作区和 GCP 资源,除非过度规则(即用户 A 从美国启用访问)。

This is something I've seen possible in Azure AD, does GCP/Workspace have a similar functionality?这是我在 Azure AD 中看到的可能,GCP/Workspace 是否具有类似的功能?

1 个解决方案

解决方案1
 2 已采纳  2022-03-02 20:50:21

Use Context-Aware Access to create granular access control policies for Google Workspace.使用情境感知访问权限为 Google Workspace 创建精细的访问权限控制政策。 Not all versions of Google Workspace enable this feature.并非所有版本的 Google Workspace 都支持此功能。 This does not affect access to Google Cloud Platform.这不会影响对 Google Cloud Platform 的访问。

If you are using Identity-Aware Proxy to control access to your resources in Google Cloud, then you can extend Identity-Aware Proxy with Context-Aware Proxy.如果您使用 Identity-Aware Proxy 来控制对 Google Cloud 中资源的访问,则可以使用 Context-Aware Proxy 扩展 Identity-Aware Proxy。 However, this does not limit access to the Google Cloud GUI or other Google owned resources - only the ones you configure IAP authorization.但是,这不会限制对 Google Cloud GUI 或其他 Google 拥有的资源的访问 - 仅限您配置 IAP 授权的资源。

Setting up context-aware access with Identity-Aware Proxy 使用 Identity-Aware Proxy 设置上下文感知访问

Context-Aware Access can also be integrated with VPC Service Control perimeter ingress rules to allow access based on.network origin (IP and VPC).上下文感知访问还可以与 VPC 服务控制边界入口规则集成,以允许基于网络来源(IP 和 VPC)的访问。

Context-aware access with ingress rules 使用入口规则的上下文感知访问

Summary:概括:

Integrate Context-Aware Access with resources you create that support Identity-Aware Proxy.将 Context-Aware Access 与您创建的支持 Identity-Aware Proxy 的资源集成。

Use VPC Service Controls to control access to Google Cloud resources that support VPCs (Cloud Storage, BigQuery, etc).使用 VPC Service Controls 控制对支持 VPC 的 Google Cloud 资源(Cloud Storage、BigQuery 等)的访问。

If your goal is to limit access to the Google Cloud Console GUI, I am not aware of one.如果您的目标是限制对 Google Cloud Console GUI 的访问,我不知道。 Use Two-Step Verification to control user access from new locations.使用两步验证来控制来自新位置的用户访问。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 项目 A 下的资源迁移到 GCP 中同一组织中的项目 B - Resource Under Project A migrate to Project B in same organisation in GCP GCP - IAM 限制管理员角色的删除访问权限 - GCP - IAM Restrict Delete access for Admin Role 使用公司 email “nongmail” 和密码访问 GCP 项目 - Access GCP project with company email "nongmail" and password 从不同项目访问 GCP Docker 图像 - Access GCP Docker image from different project 在GCP中,如何列出项目下运行的所有资源? - In GCP, how to list all the resources running under project? 查找 GCP 服务帐户在项目中绑定的资源 - Find Resources a GCP service account is tied to within a project 在 GCP Marketplace 中限制购买 - Restrict purchasing in GCP Marketplace 在 GCP 上添加多个组织域 - Adding more than one organisation domain on GCP 如何按域、域的 IP 或 GKE 入口 IP 限制 GCP 负载均衡器访问? - How do I restrict GCP load balancer access by domain, domain's IP or GKE ingress IP? 生成 GCP 资源清单 - Generating inventory of GCP resources
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM