このページでは、上り(内向き)ルールと下り(外向き)ルールで ID グループとサードパーティ ID を使用する方法について説明します。上り(内向き)ルールと下り(外向き)ルールでサードパーティの ID を使用する機能はプレビュー版です。
このページでは、上り(内向き)ルールと下り(外向き)ルールで ID グループを使用する次の例を示します。
- Cloud Run がインターネット経由で ID グループのメンバーにアクセスし、許可リストに登録された IP アドレス範囲の特定のサービス アカウントにアクセスできるようにします。
Cloud Run に ID グループのメンバーと特定のサービス アカウントへのアクセスを許可する
次の図は、特定の ID グループのユーザーと許可リストに登録された IP アドレス範囲のユーザーが、サービス境界内の Cloud Run にアクセスする様子を示しています。
次のサービス境界を定義したとします。
name: accessPolicies/222/servicePerimeters/Example
status:
resources:
- projects/111
restrictedServices:
- run.googleapis.com
- artifactregistry.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Example
組織内の既存のサービス境界の詳細を確認するには、gcloud CLI コマンドを使用してサービス境界を記述します。
この例では、次のリソースが定義されていることも前提としています。
allowed-users@example.comという ID グループ。境界内の Cloud Run へのアクセス権を付与するユーザーが含まれています。- サービス境界と同じアクセス ポリシーにある
CorpDatacentersというアクセスレベル。CorpDatacentersには、サービス アカウントからのリクエストの送信元となる可能性がある企業データセンターの許可リストに登録された IP アドレス範囲が含まれます。
次の上り(内向き)ポリシー ingress.yaml により、Cloud Run は、allowed-users@example.com グループに属する特定のユーザー アカウントと、許可リストに登録された IP アドレス範囲に限定された特定のサービス アカウントにアクセスできます。
- ingressFrom:
identities:
- serviceAccount:my-sa@my-project.iam.gserviceaccount.com
sources:
- accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
- ingressFrom:
identities:
- group:allowed-users@example.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
上り(内向き)ルールを適用するには、次のコマンドを実行します。
gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml