En esta página se muestra cómo usar grupos de identidades e identidades de terceros en reglas de entrada y salida.
En esta página se muestra un ejemplo de cómo usar grupos de identidades en reglas de entrada y salida:
- Permite que Cloud Run acceda a los miembros de un grupo de identidades a través de Internet y a cuentas de servicio específicas desde un intervalo de direcciones IP incluidas en una lista de permitidas.
Permitir que Cloud Run acceda a los miembros de un grupo de identidades y a cuentas de servicio específicas
En el siguiente diagrama se muestra cómo accede un usuario de un grupo de identidades específico y de un intervalo de direcciones IP incluidas en la lista de permitidas a Cloud Run dentro de un perímetro de servicio:
Supongamos que has definido el siguiente perímetro de servicio:
name: accessPolicies/222/servicePerimeters/Example
status:
resources:
- projects/111
restrictedServices:
- run.googleapis.com
- artifactregistry.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Example
Para obtener información sobre un perímetro de servicio de tu organización, describe el perímetro de servicio con el comando de la CLI de gcloud.
En este ejemplo, también suponemos que ha definido los siguientes recursos:
- Un grupo de identidades llamado
allowed-users@example.comque tiene usuarios a los que quieres dar acceso a Cloud Run dentro del perímetro. - Un nivel de acceso llamado
CorpDatacentersen la misma política de acceso que el perímetro de servicio.CorpDatacentersincluye un intervalo de direcciones IP permitidas de los centros de datos corporativos desde los que se pueden originar las solicitudes de las cuentas de servicio.
La siguiente política de entrada, ingress.yaml, permite que Cloud Run acceda a cuentas de usuario específicas, que forman parte del grupo allowed-users@example.com, y a cuentas de servicio específicas, que están limitadas al intervalo de direcciones IP de la lista de permitidas:
- ingressFrom:
identities:
- serviceAccount:my-sa@my-project.iam.gserviceaccount.com
sources:
- accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
- ingressFrom:
identities:
- group:allowed-users@example.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
Para aplicar la regla de entrada, ejecuta el siguiente comando:
gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml