Cette page a été traduite par l'API Cloud Translation.

Exemple d'utilisation de groupes d'identités et d'identités tierces dans les règles d'entrée et de sortie

Cette page explique comment utiliser des groupes d'identités et des identités tierces dans les règles d'entrée et de sortie.

Cette page contient l'exemple suivant d'utilisation de groupes d'identité dans les règles d'entrée et de sortie:

Autorisez Cloud Run à accéder aux membres d'un groupe d'identité via Internet et à des comptes de service spécifiques à partir d'une plage d'adresses IP de la liste d'autorisation.

Autoriser Cloud Run à accéder aux membres d'un groupe d'identité et à des comptes de service spécifiques

Le schéma suivant montre comment un utilisateur appartenant à un groupe d'identité spécifique et à la plage d'adresses IP de la liste d'autorisation accède à Cloud Run dans un périmètre de service:

Supposons que vous ayez défini le périmètre de service suivant:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Pour obtenir des informations sur un périmètre de service existant dans votre organisation, décrivez le périmètre de service à l'aide de la commande gcloud CLI.

Dans cet exemple, nous supposons également que vous avez défini les ressources suivantes:

Un groupe d'identité appelé allowed-users@example.com qui contient les utilisateurs auxquels vous souhaitez accorder l'accès à Cloud Run dans le périmètre.
Un niveau d'accès appelé CorpDatacenters dans la même stratégie d'accès que le périmètre de service. CorpDatacenters inclut une plage d'adresses IP de la liste d'autorisation des centres de données d'entreprise d'où peuvent provenir les requêtes des comptes de service.

La stratégie d'entrée suivante, ingress.yaml, autorise Cloud Run à accéder à des comptes utilisateur spécifiques, qui font partie du groupe allowed-users@example.com, et à des comptes de service spécifiques, qui sont limités à la plage d'adresses IP de la liste d'autorisation:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Pour appliquer la règle d'entrée, exécutez la commande suivante:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

Étape suivante

Configurer des groupes d'identités et des identités tierces dans les règles d'entrée et de sortie