Esempio di utilizzo di gruppi di identità e identità di terze parti nelle regole di ingresso e uscita

Questa pagina mostra come utilizzare gruppi di identità e identità di terze parti nelle regole di entrata e di uscita.

Questa pagina contiene il seguente esempio di utilizzo dei gruppi di identità nelle regole di entrata e di uscita:

• Consenti a Cloud Run di accedere ai membri di un gruppo di identità tramite internet e ad account di servizio specifici da un intervallo di indirizzi IP inclusi nella lista consentita.

Consenti a Cloud Run di accedere ai membri di un gruppo di identità e ad account di servizio specifici

Il seguente diagramma mostra un utente di un gruppo di identità specifico e dell'intervallo di indirizzi IP consentito che accede a Cloud Run all'interno di un perimetro di servizio:

Supponiamo che tu abbia definito il seguente perimetro di servizio:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Per trovare i dettagli di un perimetro di servizio esistente nella tua organizzazione, descrivi il perimetro di servizio utilizzando il comando gcloud CLI.

In questo esempio, si presume inoltre che tu abbia definito le seguenti risorse:

• Un gruppo di identità denominato allowed-users@example.com contenente gli utenti a cui vuoi fornire l'accesso a Cloud Run all'interno del perimetro.
• Un livello di accesso denominato CorpDatacenters nello stesso criterio di accesso del perimetro del servizio. CorpDatacenters include un intervallo di indirizzi IP inclusi nella lista consentita dei centri dati aziendali da cui possono provenire le richieste degli account di servizio.

Il seguente criterio di ingresso, ingress.yaml, consente a Cloud Run di accedere ad account utente specifici che fanno parte del gruppo allowed-users@example.com e ad account di servizio specifici, limitati all'intervallo di indirizzi IP inclusi nella lista consentita:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Per applicare la regola di ingresso, esegui il seguente comando:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

Passaggi successivi

• Configurare gruppi di identità e identità di terze parti nelle regole di ingresso e di uscita