Esta página foi traduzida pela API Cloud Translation.

Exemplo de utilização de grupos de identidade e identidades de terceiros em regras de entrada e saída

Esta página mostra como usar grupos de identidades e identidades de terceiros em regras de entrada e saída.

Esta página contém o seguinte exemplo de utilização de grupos de identidades em regras de entrada e saída:

Permitir o acesso do Cloud Run aos membros de um grupo de identidade através da Internet e a contas de serviço específicas a partir de um intervalo de endereços IP na lista de autorizações.

Permita o acesso do Cloud Run aos membros de um grupo de identidades e a contas de serviço específicas

O diagrama seguinte mostra um utilizador de um grupo de identidades específico e de um intervalo de endereços IP na lista de autorizações que acede ao Cloud Run dentro de um perímetro de serviço:

Considere que definiu o seguinte perímetro de serviço:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Para encontrar detalhes sobre um perímetro de serviço existente na sua organização, descreva o perímetro de serviço com o comando da CLI gcloud.

Neste exemplo, também pressupomos que definiu os seguintes recursos:

Um grupo de identidades denominado allowed-users@example.com que tem utilizadores aos quais quer conceder acesso ao Cloud Run dentro do perímetro.
Um nível de acesso denominado CorpDatacenters na mesma política de acesso que o perímetro de serviço. CorpDatacenters inclui um intervalo de endereços IP na lista de autorizações dos centros de dados empresariais a partir dos quais os pedidos de contas de serviço podem ter origem.

A seguinte política de entrada, ingress.yaml, permite o acesso do Cloud Run a contas de utilizadores específicas, que fazem parte do grupo allowed-users@example.com, e a contas de serviço específicas, que estão limitadas ao intervalo de endereços IP na lista de autorizações:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Para aplicar a regra de entrada, execute o seguinte comando:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

O que se segue?

Configure grupos de identidades e identidades de terceiros nas regras de entrada e saída