Halaman ini diterjemahkan oleh Cloud Translation API.

Contoh penggunaan grup identitas dan identitas pihak ketiga dalam aturan masuk dan keluar

Halaman ini menunjukkan cara menggunakan grup identitas dan identitas pihak ketiga dalam aturan masuk dan keluar. Penggunaan identitas pihak ketiga dalam aturan masuk dan keluar masih dalam Pratinjau.

Halaman ini berisi contoh berikut tentang penggunaan grup identitas dalam aturan masuk dan keluar:

Izinkan akses Cloud Run ke anggota grup identitas melalui internet dan ke akun layanan tertentu dari rentang alamat IP yang diizinkan.

Mengizinkan Cloud Run mengakses anggota grup identitas dan akun layanan tertentu

Diagram berikut menunjukkan pengguna dari grup identitas tertentu dan dari rentang alamat IP yang diizinkan mengakses Cloud Run di dalam perimeter layanan:

Pertimbangkan bahwa Anda telah menentukan perimeter layanan berikut:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Untuk menemukan detail tentang perimeter layanan yang ada di organisasi Anda, deskripsikan perimeter layanan menggunakan perintah gcloud CLI.

Dalam contoh ini, kami juga mengasumsikan bahwa Anda telah menentukan resource berikut:

Grup identitas bernama allowed-users@example.com yang memiliki pengguna yang ingin Anda beri akses ke Cloud Run di dalam perimeter.
Tingkat akses yang disebut CorpDatacenters dalam kebijakan akses yang sama dengan perimeter layanan. CorpDatacenters menyertakan rentang alamat IP yang diizinkan dari pusat data perusahaan tempat permintaan dari akun layanan dapat berasal.

Kebijakan masuk berikut, ingress.yaml, mengizinkan akses Cloud Run ke akun pengguna tertentu, yang merupakan bagian dari grup allowed-users@example.com, dan akun layanan tertentu, yang dibatasi ke rentang alamat IP yang diizinkan:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Untuk menerapkan aturan ingress, jalankan perintah berikut:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

Langkah selanjutnya

Mengonfigurasi grup identitas dan identitas pihak ketiga dalam aturan masuk dan keluar