이 페이지에서는 인그레스 및 이그레스 규칙에서 ID 그룹 및 서드 파티 ID를 사용하는 방법을 보여줍니다. 인그레스 및 이그레스 규칙에서 서드 파티 ID를 사용하는 기능은 미리보기 버전입니다.
이 페이지에는 인그레스 및 이그레스 규칙에서 ID 그룹을 사용하는 다음 예시가 포함되어 있습니다.
- Cloud Run이 인터넷을 통해 ID 그룹의 구성원과 허용 목록에 있는 IP 주소 범위의 특정 서비스 계정에 액세스하도록 허용합니다.
Cloud Run이 ID 그룹의 구성원 및 특정 서비스 계정에 액세스하도록 허용
다음 다이어그램은 특정 ID 그룹의 사용자와 허용 목록에 있는 IP 주소 범위의 사용자가 서비스 경계 내에서 Cloud Run에 액세스하는 것을 보여줍니다.
다음과 같은 서비스 경계를 정의했다고 가정해 보겠습니다.
name: accessPolicies/222/servicePerimeters/Example status: resources: - projects/111 restrictedServices: - run.googleapis.com - artifactregistry.googleapis.com vpcAccessibleServices: enableRestriction: true allowedServices: - RESTRICTED_SERVICES title: Example
조직의 기존 서비스 경계에 대한 세부정보를 찾으려면 gcloud CLI 명령어를 사용하여 서비스 경계를 설명합니다.
이 예에서는 다음 리소스도 정의했다고 가정합니다.
- 경계 내에서 Cloud Run에 대한 액세스 권한을 부여하려는 사용자가 있는
allowed-users@example.com
라는 ID 그룹입니다. - 서비스 경계와 동일한 액세스 정책에 있는
CorpDatacenters
라는 액세스 수준CorpDatacenters
에는 서비스 계정의 요청이 발생할 수 있는 기업 데이터 센터의 허용 목록에 추가된 IP 주소 범위가 포함됩니다.
다음 인그레스 정책 ingress.yaml
은 allowed-users@example.com
그룹에 속한 특정 사용자 계정과 허용 목록에 있는 IP 주소 범위로 제한된 특정 서비스 계정에 Cloud Run이 액세스하도록 허용합니다.
- ingressFrom: identities: - serviceAccount:my-sa@my-project.iam.gserviceaccount.com sources: - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters ingressTo: operations: - serviceName: run.googleapis.com methodSelectors: - method: "*" resources: - "*" - ingressFrom: identities: - group:allowed-users@example.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: run.googleapis.com methodSelectors: - method: "*" resources: - "*"
인그레스 규칙을 적용하려면 다음 명령어를 실행합니다.
gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml