Esta página foi traduzida pela API Cloud Translation.

Exemplo de uso de grupos de identidade e identidades de terceiros em regras de entrada e saída

Esta página mostra como usar grupos de identidade e identidades de terceiros em regras de entrada e saída.

Esta página contém o seguinte exemplo de uso de grupos de identidade em regras de entrada e saída:

Permita que o Cloud Run acesse os membros de um grupo de identidade pela Internet e contas de serviço específicas de um intervalo de endereços IP permitido.

Permitir que o Cloud Run acesse os membros de um grupo de identidade e contas de serviço específicas

O diagrama a seguir mostra um usuário de um grupo de identidade específico e do intervalo de endereços IP da lista de permissões que acessa o Cloud Run dentro de um perímetro de serviço:

Considere que você definiu o seguinte perímetro de serviço:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Para encontrar detalhes sobre um perímetro de serviço na sua organização, descreva o perímetro de serviço usando o comando gcloud CLI.

Neste exemplo, também presumimos que você tenha definido os seguintes recursos:

Um grupo de identidade chamado allowed-users@example.com que tem usuários a quem você quer dar acesso ao Cloud Run dentro do perímetro.
Um nível de acesso chamado CorpDatacenters na mesma política de acesso do perímetro de serviço. CorpDatacenters inclui um intervalo de endereços IP da lista de permissões dos data centers corporativos de onde as solicitações de contas de serviço podem originar.

A política de entrada ingress.yaml a seguir permite que o Cloud Run acesse contas humanas específicas que fazem parte do grupo allowed-users@example.com e contas de serviço específicas, que são limitadas ao intervalo de endereços IP da lista de permissões:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Para aplicar a regra de entrada, execute o seguinte comando:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

A seguir

Configurar grupos de identidade e identidades de terceiros nas regras de entrada e saída