En esta página, se muestra cómo usar grupos de identidad y identidades de terceros en las reglas de entrada y salida. El uso de una identidad de terceros en las reglas de entrada y salida está en versión preliminar.
En esta página, se incluye el siguiente ejemplo del uso de grupos de identidad en las reglas de entrada y salida:
- Permite que Cloud Run acceda a los miembros de un grupo de identidad a través de Internet y a cuentas de servicio específicas desde un rango de direcciones IP incluidas en la lista de entidades permitidas.
Permite que Cloud Run acceda a los miembros de un grupo de identidad y a cuentas de servicio específicas
En el siguiente diagrama, se muestra un usuario de un grupo de identidad específico y del rango de direcciones IP permitidas que accede a Cloud Run dentro de un perímetro de servicio:
Supongamos que definiste el siguiente perímetro de servicio:
name: accessPolicies/222/servicePerimeters/Example
status:
resources:
- projects/111
restrictedServices:
- run.googleapis.com
- artifactregistry.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Example
Para encontrar detalles sobre un perímetro de servicio existente en tu organización, describe el perímetro de servicio con el comando de gcloud CLI.
En este ejemplo, también suponemos que definiste los siguientes recursos:
- Un grupo de identidad llamado
allowed-users@example.comque tiene usuarios a los que deseas proporcionar acceso a Cloud Run dentro del perímetro. - Un nivel de acceso llamado
CorpDatacentersen la misma política de acceso que el perímetro de servicioCorpDatacentersincluye un rango de direcciones IP incluidas en la lista de entidades permitidas de los centros de datos corporativos desde los que pueden provenir las solicitudes de las cuentas de servicio.
La siguiente política de entrada, ingress.yaml, permite que Cloud Run acceda a cuentas humanas específicas que forman parte del grupo allowed-users@example.com y a cuentas de servicio específicas, que se limitan al rango de direcciones IP incluidas en la lista de entidades permitidas:
- ingressFrom:
identities:
- serviceAccount:my-sa@my-project.iam.gserviceaccount.com
sources:
- accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
- ingressFrom:
identities:
- group:allowed-users@example.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
Para aplicar la regla de entrada, ejecuta el siguiente comando:
gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml