Questa pagina contiene il seguente esempio di utilizzo dei gruppi di identità nelle regole di entrata
e di uscita:
Consenti a Cloud Run di accedere ai membri di un gruppo di identità tramite internet e ad account di servizio specifici da un intervallo di indirizzi IP inclusi nella lista consentita.
Consenti a Cloud Run di accedere ai membri di un gruppo di identità e ad account di servizio specifici
Il seguente diagramma mostra un utente di un gruppo di identità specifico e dell'intervallo di indirizzi IP consentito che accede a Cloud Run all'interno di un perimetro di servizio:
Figura 1. Un esempio di assegnazione dell'accesso a Cloud Run utilizzando un gruppo di identità.
Supponiamo che tu abbia definito il seguente perimetro di servizio:
Per trovare i dettagli di un perimetro di servizio esistente nella tua organizzazione,
descrivi il perimetro di servizio
utilizzando il comando gcloud CLI.
In questo esempio, si presume inoltre che tu abbia definito le seguenti risorse:
Un gruppo di identità denominato allowed-users@example.com contenente gli utenti a cui vuoi fornire l'accesso a Cloud Run all'interno del perimetro.
Un livello di accesso denominato CorpDatacenters nello stesso criterio di accesso del perimetro del servizio. CorpDatacenters include un intervallo di indirizzi IP inclusi nella lista consentita dei centri dati aziendali da cui possono provenire le richieste degli account di servizio.
Il seguente criterio di ingresso, ingress.yaml, consente a Cloud Run di accedere ad account utente specifici che fanno parte del gruppo allowed-users@example.com e ad account di servizio specifici, limitati all'intervallo di indirizzi IP inclusi nella lista consentita:
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Example of using identity groups and third-party identities in ingress and egress rules\n\nThis page shows how to [use identity groups and third-party identities in\ningress and egress rules](/vpc-service-controls/docs/configure-identity-groups).\n\nThis page contains the following example of using identity groups in ingress\nand egress rules:\n\n- Allow Cloud Run access to an identity group's members through the internet and to specific service accounts from an allowlisted IP address range.\n\nAllow Cloud Run access to an identity group's members and to specific service accounts\n--------------------------------------------------------------------------------------\n\nThe following diagram shows a user from a specific identity group and from the\nallowlisted IP address range accesses Cloud Run inside a service\nperimeter:\n**Figure 1.** An example of providing Cloud Run access using an identity group.\n\nConsider that you have defined the following service perimeter: \n\n```\nname: accessPolicies/222/servicePerimeters/Example\nstatus:\n resources:\n - projects/111\n restrictedServices:\n - run.googleapis.com\n - artifactregistry.googleapis.com\n vpcAccessibleServices:\n enableRestriction: true\n allowedServices:\n - RESTRICTED_SERVICES\ntitle: Example\n```\n\nTo find details about an existing service perimeter in your organization,\n[describe the service\nperimeter](/vpc-service-controls/docs/manage-service-perimeters#list-and-describe)\nusing the gcloud CLI command.\n\nIn this example, we also assume that you have defined the following resources:\n\n- An identity group called `allowed-users@example.com` that has users who you want to provide access to Cloud Run inside the perimeter.\n- An access level called `CorpDatacenters` in the same access policy as the service perimeter. `CorpDatacenters` includes an allowlisted IP address range of the corporate data centers where requests from service accounts can originate from.\n\nThe following ingress policy, `ingress.yaml`, allows Cloud Run\naccess to specific human accounts, who are part of the\n`allowed-users@example.com` group, and specific service accounts, that are\nlimited to the allowlisted IP address range: \n\n```\n- ingressFrom:\n identities:\n - serviceAccount:my-sa@my-project.iam.gserviceaccount.com\n sources:\n - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters\n ingressTo:\n operations:\n - serviceName: run.googleapis.com\n methodSelectors:\n - method: \"*\"\n resources:\n - \"*\"\n- ingressFrom:\n identities:\n - group:allowed-users@example.com\n sources:\n - accessLevel: \"*\"\n ingressTo:\n operations:\n - serviceName: run.googleapis.com\n methodSelectors:\n - method: \"*\"\n resources:\n - \"*\"\n```\n\nTo apply the ingress rule, run the following command: \n\n```\ngcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml\n```\n\nWhat's next\n-----------\n\n- [Configure identity groups and third-party identities in ingress and egress rules](/vpc-service-controls/docs/configure-identity-groups)"]]
