Beispiel für die Verwendung von Identitätsgruppen und Drittanbieteridentitäten in Ingress- und Egress-Regeln

Auf dieser Seite erfahren Sie, wie Sie Identitätsgruppen und Identitäten von Drittanbietern in Ingress- und Egress-Regeln verwenden.

Auf dieser Seite finden Sie das folgende Beispiel für die Verwendung von Identitätsgruppen in Regeln für eingehenden und ausgehenden Traffic:

• Cloud Run-Zugriff für Mitglieder einer Identitätsgruppe über das Internet und für bestimmte Dienstkonten aus einem IP-Adressbereich auf der Zulassungsliste erlauben

Cloud Run-Zugriff für Mitglieder einer Identitätsgruppe und für bestimmte Dienstkonten gewähren

Das folgende Diagramm zeigt einen Nutzer aus einer bestimmten Identitätsgruppe, der über den IP-Adressbereich auf der Zulassungsliste auf Cloud Run innerhalb eines Dienstperimeters zugreift:

Angenommen, Sie haben den folgenden Dienstperimeter definiert:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Wenn Sie Details zu einem vorhandenen Dienstperimeter in Ihrer Organisation aufrufen möchten, beschreiben Sie den Dienstperimeter mit dem Befehl der gcloud CLI.

In diesem Beispiel wird außerdem davon ausgegangen, dass Sie die folgenden Ressourcen definiert haben:

• Eine Identitätsgruppe namens allowed-users@example.com mit Nutzern, denen Sie innerhalb des Perimeter Zugriff auf Cloud Run gewähren möchten.
• Eine Zugriffsebene namens CorpDatacenters in derselben Zugriffsrichtlinie wie der Dienstperimeter. CorpDatacenters enthält einen IP-Adressbereich der Unternehmensrechenzentren, von denen Anfragen von Dienstkonten stammen können.

Die folgende Ingress-Richtlinie ingress.yaml erlaubt Cloud Run-Zugriff auf bestimmte Nutzerkonten, die zur Gruppe allowed-users@example.com gehören, und bestimmte Dienstkonten, die auf den IP-Adressbereich der Zulassungsliste beschränkt sind:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Führen Sie den folgenden Befehl aus, um die Regel für eingehenden Traffic anzuwenden:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

Nächste Schritte

• Identitätsgruppen und Identitäten von Drittanbietern in Regeln für ein- und ausgehenden Traffic konfigurieren