인그레스 및 이그레스 규칙에서 ID 그룹 및 서드 파티 ID를 사용하는 예시

이 페이지에서는 인그레스 및 이그레스 규칙에서 ID 그룹 및 서드 파티 ID를 사용하는 방법을 보여줍니다. 인그레스 및 이그레스 규칙에서 서드 파티 ID를 사용하는 기능은 미리보기 버전입니다.

이 페이지에는 인그레스 및 이그레스 규칙에서 ID 그룹을 사용하는 다음 예시가 포함되어 있습니다.

  • Cloud Run이 인터넷을 통해 ID 그룹의 구성원과 허용 목록에 있는 IP 주소 범위의 특정 서비스 계정에 액세스하도록 허용합니다.

Cloud Run이 ID 그룹의 구성원 및 특정 서비스 계정에 액세스하도록 허용

다음 다이어그램은 특정 ID 그룹의 사용자와 허용 목록에 있는 IP 주소 범위의 사용자가 서비스 경계 내에서 Cloud Run에 액세스하는 것을 보여줍니다.

다음과 같은 서비스 경계를 정의했다고 가정해 보겠습니다.

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

조직의 기존 서비스 경계에 대한 세부정보를 찾으려면 gcloud CLI 명령어를 사용하여 서비스 경계를 설명합니다.

이 예에서는 다음 리소스도 정의했다고 가정합니다.

  • 경계 내에서 Cloud Run에 대한 액세스 권한을 부여하려는 사용자가 있는 allowed-users@example.com라는 ID 그룹입니다.
  • 서비스 경계와 동일한 액세스 정책에 있는 CorpDatacenters라는 액세스 수준 CorpDatacenters에는 서비스 계정의 요청이 발생할 수 있는 기업 데이터 센터의 허용 목록에 추가된 IP 주소 범위가 포함됩니다.

다음 인그레스 정책 ingress.yamlallowed-users@example.com 그룹에 속한 특정 사용자 계정과 허용 목록에 있는 IP 주소 범위로 제한된 특정 서비스 계정에 Cloud Run이 액세스하도록 허용합니다.

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

인그레스 규칙을 적용하려면 다음 명령어를 실행합니다.

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

다음 단계