Exemple d'utilisation de groupes d'identités et d'identités tierces dans les règles d'entrée et de sortie

Cette page explique comment utiliser des groupes d'identités et des identités tierces dans les règles d'entrée et de sortie.

Elle fournit l'exemple suivant d'utilisation de groupes d'identités dans les règles d'entrée et de sortie :

Autoriser l'accès à Cloud Run pour les membres d'un groupe d'identités via Internet et pour des comptes de service spécifiques à partir d'une plage d'adresses IP autorisée.

Autoriser l'accès de Cloud Run aux membres d'un groupe d'identités et à des comptes de service spécifiques

Dans le schéma suivant, un utilisateur appartenant à un groupe d'identités spécifique et à la plage d'adresses IP autorisée accède à Cloud Run à l'intérieur d'un périmètre de service :

Supposons que vous ayez défini le périmètre de service suivant :

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Pour en savoir plus sur un périmètre de service existant dans votre organisation, décrivez le périmètre de service à l'aide de la commande gcloud CLI.

Dans cet exemple, nous partons également du principe que vous avez défini les ressources suivantes :

Un groupe d'identités appelé allowed-users@example.com, qui contient les utilisateurs auxquels vous souhaitez donner accès à Cloud Run à l'intérieur du périmètre
Un niveau d'accès appelé CorpDatacenters, se trouvant dans la même règle d'accès que le périmètre de service CorpDatacenters inclut une plage d'adresses IP autorisée des centres de données d'entreprise à partir desquels les requêtes des comptes de service peuvent être envoyées.

La règle d'entrée ingress.yaml autorise l'accès de Cloud Run à des comptes utilisateur spécifiques, qui font partie du groupe allowed-users@example.com, et à des comptes de service spécifiques, qui sont limités à la plage d'adresses IP autorisée :

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Pour appliquer la règle d'entrée, exécutez la commande suivante :

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

Étape suivante

Configurez des groupes d'identité et des identités tierces dans les règles d'entrée et de sortie.

Exemple d'utilisation de groupes d'identités et d'identités tierces dans les règles d'entrée et de sortie Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Autoriser l'accès de Cloud Run aux membres d'un groupe d'identités et à des comptes de service spécifiques

Étape suivante

Exemple d'utilisation de groupes d'identités et d'identités tierces dans les règles d'entrée et de sortie