Questa pagina mostra come utilizzare gruppi di identità e identità di terze parti nelle regole di entrata e di uscita.
Questa pagina contiene il seguente esempio di utilizzo dei gruppi di identità nelle regole di entrata e di uscita:
- Consenti a Cloud Run di accedere ai membri di un gruppo di identità tramite internet e ad account di servizio specifici da un intervallo di indirizzi IP inclusi nella lista consentita.
Consenti a Cloud Run di accedere ai membri di un gruppo di identità e ad account di servizio specifici
Il seguente diagramma mostra un utente di un gruppo di identità specifico e dell'intervallo di indirizzi IP consentito che accede a Cloud Run all'interno di un perimetro di servizio:
Supponiamo che tu abbia definito il seguente perimetro di servizio:
name: accessPolicies/222/servicePerimeters/Example
status:
resources:
- projects/111
restrictedServices:
- run.googleapis.com
- artifactregistry.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Example
Per trovare i dettagli di un perimetro di servizio esistente nella tua organizzazione, descrivi il perimetro di servizio utilizzando il comando gcloud CLI.
In questo esempio, si presume inoltre che tu abbia definito le seguenti risorse:
- Un gruppo di identità denominato
allowed-users@example.comcontenente gli utenti a cui vuoi fornire l'accesso a Cloud Run all'interno del perimetro. - Un livello di accesso denominato
CorpDatacentersnello stesso criterio di accesso del perimetro del servizio.CorpDatacentersinclude un intervallo di indirizzi IP inclusi nella lista consentita dei centri dati aziendali da cui possono provenire le richieste degli account di servizio.
Il seguente criterio di ingresso, ingress.yaml, consente a Cloud Run di accedere ad account utente specifici che fanno parte del gruppo allowed-users@example.com e ad account di servizio specifici, limitati all'intervallo di indirizzi IP inclusi nella lista consentita:
- ingressFrom:
identities:
- serviceAccount:my-sa@my-project.iam.gserviceaccount.com
sources:
- accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
- ingressFrom:
identities:
- group:allowed-users@example.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
Per applicare la regola di ingresso, esegui il seguente comando:
gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml