Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Esempio di utilizzo di gruppi di identità e identità di terze parti nelle regole in entrata e in uscita

Questa pagina mostra come utilizzare i gruppi di identità e le identità di terze parti nelle regole in entrata e in uscita.

Questa pagina contiene il seguente esempio di utilizzo dei gruppi di identità nelle regole in entrata e in uscita:

Consenti a Cloud Run di accedere ai membri di un gruppo di identità tramite internet e a service account specifici da un intervallo di indirizzi IP consentito.

Consenti a Cloud Run di accedere ai membri di un gruppo di identità e a service account specifici

Il seguente diagramma mostra un utente in un gruppo di identità specifico e nell'intervallo di indirizzi IP consentito che accede a Cloud Run all'interno di un perimetro di servizio:

Supponiamo di aver definito il seguente perimetro di servizio:

name: accessPolicies/222/servicePerimeters/Example
status:
  resources:
  - projects/111
  restrictedServices:
  - run.googleapis.com
  - artifactregistry.googleapis.com
  vpcAccessibleServices:
    enableRestriction: true
    allowedServices:
    - RESTRICTED_SERVICES
title: Example

Per trovare i dettagli di un perimetro di servizio esistente nella tua organizzazione, descrivi il perimetro di servizio utilizzando il comando gcloud CLI.

In questo esempio, supponiamo anche che tu abbia definito le seguenti risorse:

Un gruppo di identità denominato allowed-users@example.com che include gli utenti a cui vuoi fornire l'accesso a Cloud Run all'interno del perimetro.
Un livello di accesso denominato CorpDatacenters nella stessa policy di accesso del perimetro di servizio. CorpDatacenters include un intervallo di indirizzi IP consentito dei data center aziendali da cui possono provenire le richieste dei service account.

La seguente policy in entrata, ingress.yaml, consente l'accesso a Cloud Run a specifici account utente di persone che fanno parte del gruppo allowed-users@example.com e a specifici service account, limitati all'intervallo di indirizzi IP consentito:

- ingressFrom:
    identities:
    - serviceAccount:my-sa@my-project.s3ns.iam.gserviceaccount.com
    sources:
    - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
- ingressFrom:
    identities:
    - group:allowed-users@example.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: run.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Per applicare la regola in entrata, esegui questo comando:

gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml

Passaggi successivi

Configura gruppi di identità e identità di terze parti nelle regole in entrata e in uscita