Cette page contient l'exemple suivant d'utilisation de groupes d'identité dans les règles d'entrée et de sortie:
Autorisez Cloud Run à accéder aux membres d'un groupe d'identité via Internet et à des comptes de service spécifiques à partir d'une plage d'adresses IP de la liste d'autorisation.
Autoriser Cloud Run à accéder aux membres d'un groupe d'identité et à des comptes de service spécifiques
Le schéma suivant montre comment un utilisateur appartenant à un groupe d'identité spécifique et à la plage d'adresses IP de la liste d'autorisation accède à Cloud Run dans un périmètre de service:
Figure 1. Exemple d'octroi d'accès à Cloud Run à l'aide d'un groupe d'identités.
Supposons que vous ayez défini le périmètre de service suivant:
Pour obtenir des informations sur un périmètre de service existant dans votre organisation, décrivez le périmètre de service à l'aide de la commande gcloud CLI.
Dans cet exemple, nous supposons également que vous avez défini les ressources suivantes:
Un groupe d'identité appelé allowed-users@example.com qui contient les utilisateurs auxquels vous souhaitez accorder l'accès à Cloud Run dans le périmètre.
Un niveau d'accès appelé CorpDatacenters dans la même stratégie d'accès que le périmètre de service. CorpDatacenters inclut une plage d'adresses IP de la liste d'autorisation des centres de données d'entreprise d'où peuvent provenir les requêtes des comptes de service.
La stratégie d'entrée suivante, ingress.yaml, autorise Cloud Run à accéder à des comptes utilisateur spécifiques, qui font partie du groupe allowed-users@example.com, et à des comptes de service spécifiques, qui sont limités à la plage d'adresses IP de la liste d'autorisation:
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Example of using identity groups and third-party identities in ingress and egress rules\n\nThis page shows how to [use identity groups and third-party identities in\ningress and egress rules](/vpc-service-controls/docs/configure-identity-groups).\n\nThis page contains the following example of using identity groups in ingress\nand egress rules:\n\n- Allow Cloud Run access to an identity group's members through the internet and to specific service accounts from an allowlisted IP address range.\n\nAllow Cloud Run access to an identity group's members and to specific service accounts\n--------------------------------------------------------------------------------------\n\nThe following diagram shows a user from a specific identity group and from the\nallowlisted IP address range accesses Cloud Run inside a service\nperimeter:\n**Figure 1.** An example of providing Cloud Run access using an identity group.\n\nConsider that you have defined the following service perimeter: \n\n```\nname: accessPolicies/222/servicePerimeters/Example\nstatus:\n resources:\n - projects/111\n restrictedServices:\n - run.googleapis.com\n - artifactregistry.googleapis.com\n vpcAccessibleServices:\n enableRestriction: true\n allowedServices:\n - RESTRICTED_SERVICES\ntitle: Example\n```\n\nTo find details about an existing service perimeter in your organization,\n[describe the service\nperimeter](/vpc-service-controls/docs/manage-service-perimeters#list-and-describe)\nusing the gcloud CLI command.\n\nIn this example, we also assume that you have defined the following resources:\n\n- An identity group called `allowed-users@example.com` that has users who you want to provide access to Cloud Run inside the perimeter.\n- An access level called `CorpDatacenters` in the same access policy as the service perimeter. `CorpDatacenters` includes an allowlisted IP address range of the corporate data centers where requests from service accounts can originate from.\n\nThe following ingress policy, `ingress.yaml`, allows Cloud Run\naccess to specific human accounts, who are part of the\n`allowed-users@example.com` group, and specific service accounts, that are\nlimited to the allowlisted IP address range: \n\n```\n- ingressFrom:\n identities:\n - serviceAccount:my-sa@my-project.iam.gserviceaccount.com\n sources:\n - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters\n ingressTo:\n operations:\n - serviceName: run.googleapis.com\n methodSelectors:\n - method: \"*\"\n resources:\n - \"*\"\n- ingressFrom:\n identities:\n - group:allowed-users@example.com\n sources:\n - accessLevel: \"*\"\n ingressTo:\n operations:\n - serviceName: run.googleapis.com\n methodSelectors:\n - method: \"*\"\n resources:\n - \"*\"\n```\n\nTo apply the ingress rule, run the following command: \n\n```\ngcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml\n```\n\nWhat's next\n-----------\n\n- [Configure identity groups and third-party identities in ingress and egress rules](/vpc-service-controls/docs/configure-identity-groups)"]]
