En esta página, se muestra cómo usar grupos de identidades y de identidades de terceros en las reglas de entrada y salida.
En esta página, se incluye el siguiente ejemplo de cómo usar grupos de identidades en reglas de entrada y salida:
- Permite que Cloud Run acceda a los miembros de un grupo de identidades con de Internet y a cuentas de servicio específicas desde un rango de direcciones IP incluidas en la lista de entidades permitidas.
Permite que Cloud Run acceda a los miembros de un grupo de identidades y a cuentas de servicio específicas
En el siguiente diagrama, se muestra a un usuario de un grupo de identidades específico y de un rango de direcciones IP incluidas en la lista de entidades permitidas que accede a Cloud Run dentro de un perímetro de servicio:
Supongamos que definiste el siguiente perímetro de servicio:
name: accessPolicies/222/servicePerimeters/Example
status:
resources:
- projects/111
restrictedServices:
- run.googleapis.com
- artifactregistry.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Example
Para encontrar detalles sobre un perímetro de servicio existente en tu organización, describe el perímetro de servicio con el comando de gcloud CLI.
En este ejemplo, también suponemos que definiste los siguientes recursos:
- Un grupo de identidades llamado
allowed-users@example.com. Este grupo incluye usuarios a los que deseas brindar acceso a Cloud Run dentro del perímetro - Un nivel de acceso llamado
CorpDatacentersen la misma política de acceso que el perímetro de servicio.CorpDatacenterscontiene un rango de direcciones IP incluidas en la lista de entidades permitidas de los centros de datos corporativos desde los que pueden originarse solicitudes de cuentas de servicio.
La siguiente política de entrada, ingress.yaml, permite el acceso de Cloud Run
a cuentas humanas específicas, que forman parte del
grupo allowed-users@example.com y a cuentas de servicio específicas, que se
limitan al rango de direcciones IP incluida en la lista de entidades permitidas:
- ingressFrom:
identities:
- serviceAccount:my-sa@my-project.iam.gserviceaccount.com
sources:
- accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
- ingressFrom:
identities:
- group:allowed-users@example.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
Para aplicar la regla de entrada, ejecuta el siguiente comando:
gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml