Contoh penggunaan grup identitas dan identitas pihak ketiga dalam aturan ingress dan egress

Halaman ini menunjukkan cara menggunakan grup identitas dan identitas pihak ketiga dalam aturan ingress dan egress.

Halaman ini berisi contoh berikut tentang penggunaan grup identitas dalam aturan ingress dan egress:

Izinkan akses Cloud Run ke anggota grup identitas melalui internet dan ke akun layanan tertentu dari rentang alamat IP yang diizinkan.

Mengizinkan akses Cloud Run ke anggota grup identitas dan ke akun layanan tertentu

Diagram berikut menunjukkan seorang pengguna dari grup identitas tertentu dan dari rentang alamat IP yang telah masuk daftar yang diizinkan mengakses Cloud Run di dalam perimeter layanan:

Pertimbangkan bahwa Anda telah menentukan perimeter layanan berikut:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Untuk menemukan detail tentang perimeter layanan yang ada di organisasi Anda, deskripsikan perimeter layanan menggunakan perintah gcloud CLI.

Dalam contoh ini, kami juga mengasumsikan bahwa Anda telah menentukan resource berikut:

Grup identitas bernama allowed-users@example.com yang memiliki pengguna yang ingin Anda beri akses ke Cloud Run di dalam perimeter.
Tingkat akses yang disebut CorpDatacenters dalam kebijakan akses yang sama dengan perimeter layanan. CorpDatacenters mencakup rentang alamat IP yang masuk daftar yang diizinkan dari pusat data perusahaan, permintaan dari akun layanan dapat berasal.

Kebijakan ingress berikut, ingress.yaml, memungkinkan Cloud Run mengakses akun pengguna tertentu, yang merupakan bagian dari grup allowed-users@example.com, dan akun layanan tertentu, yang dibatasi ke rentang alamat IP yang telah masuk daftar yang diizinkan:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Untuk menerapkan aturan ingress, jalankan perintah berikut:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

Langkah berikutnya

Mengonfigurasi grup identitas dan identitas pihak ketiga dalam aturan ingress dan egress

Contoh penggunaan grup identitas dan identitas pihak ketiga dalam aturan ingress dan egress Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Mengizinkan akses Cloud Run ke anggota grup identitas dan ke akun layanan tertentu

Langkah berikutnya

Contoh penggunaan grup identitas dan identitas pihak ketiga dalam aturan ingress dan egress