Beispiel für die Verwendung von Identitätsgruppen und Drittanbieteridentitäten in Regeln für ein- und ausgehenden Traffic

Auf dieser Seite wird beschrieben, wie Sie Identitätsgruppen und Drittanbieteridentitäten in Regeln für ein- und ausgehenden Traffic verwenden.

Auf dieser Seite finden Sie das folgende Beispiel für die Verwendung von Identitätsgruppen in Regeln für eingehenden und ausgehenden Traffic:

• Cloud Run-Zugriff für Mitglieder einer Identitätsgruppe über das Internet sowie für bestimmte Dienstkonten über einen zugelassenen IP-Adressbereich zulassen.

Cloud Run-Zugriff auf Mitglieder einer Identitätsgruppe und auf bestimmte Dienstkonten zulassen

Das folgende Diagramm zeigt, wie einen Nutzer aus einer bestimmten Identitätsgruppe und aus dem zugelassenen IP-Adressbereich, der in einem Dienstperimeter auf Cloud Run zugreift:

Angenommen, Sie haben den folgenden Dienstperimeter definiert:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Wenn Sie Details zu einem vorhandenen Dienstperimeter in Ihrer Organisation aufrufen möchten, beschreiben Sie den Dienstperimeter mit dem gcloud CLI-Befehl.

In diesem Beispiel wird außerdem davon ausgegangen, dass Sie die folgenden Ressourcen definiert haben:

• Eine Identitätsgruppe mit dem Namen allowed-users@example.com, die Nutzer enthält, denen Sie Zugriff auf Cloud Run innerhalb des Perimeters gewähren möchten.
• Eine Zugriffsebene mit dem Namen CorpDatacenters in derselben Zugriffsrichtlinie wie der Dienstperimeter. CorpDatacenters enthält einen IP-Bereich mit Zulassungsliste der Unternehmensdatenzentren, aus denen Anfragen von Dienstkonten stammen können.

Die folgende Ingress-Richtlinie ingress.yaml ermöglicht den Cloud Run-Zugriff auf bestimmte Nutzerkonten, die Teil der Gruppe allowed-users@example.com sind, und auf bestimmte Dienstkonten, die auf den zugelassenen IP-Adressbereich beschränkt sind:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Führen Sie den folgenden Befehl aus, um die Regel für eingehenden Traffic anzuwenden:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

Nächste Schritte

• Identitätsgruppen und Drittanbieteridentitäten in Regeln für ein- und ausgehenden Traffic konfigurieren