Esta página contém o seguinte exemplo de uso de grupos de identidade em regras de entrada e saída:
Permita que o Cloud Run acesse os membros de um grupo de identidade pela
Internet e contas de serviço específicas de um intervalo de endereços IP
permitido.
Permitir que o Cloud Run acesse os membros de um grupo de identidade e contas de serviço específicas
O diagrama a seguir mostra um usuário de um grupo de identidade específico e do intervalo de endereços IP da lista de permissões que acessa o Cloud Run dentro de um perímetro de serviço:
Figura 1. Um exemplo de como fornecer acesso ao Cloud Run usando um grupo de identidade.
Considere que você definiu o seguinte perímetro de serviço:
Para encontrar detalhes sobre um perímetro de serviço na sua organização,
descreva o perímetro de serviço
usando o comando gcloud CLI.
Neste exemplo, também presumimos que você tenha definido os seguintes recursos:
Um grupo de identidade chamado allowed-users@example.com que tem usuários a quem você quer dar acesso ao Cloud Run dentro do perímetro.
Um nível de acesso chamado CorpDatacenters na mesma política de acesso do
perímetro de serviço. CorpDatacenters inclui um intervalo de endereços IP da lista de permissões
dos data centers corporativos de onde as solicitações de contas de serviço podem
originar.
A política de entrada ingress.yaml a seguir permite que o Cloud Run
acesse contas humanas específicas que fazem parte do
grupo allowed-users@example.com e contas de serviço específicas, que são
limitadas ao intervalo de endereços IP da lista de permissões:
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-01 UTC."],[],[],null,["# Example of using identity groups and third-party identities in ingress and egress rules\n\nThis page shows how to [use identity groups and third-party identities in\ningress and egress rules](/vpc-service-controls/docs/configure-identity-groups).\n\nThis page contains the following example of using identity groups in ingress\nand egress rules:\n\n- Allow Cloud Run access to an identity group's members through the internet and to specific service accounts from an allowlisted IP address range.\n\nAllow Cloud Run access to an identity group's members and to specific service accounts\n--------------------------------------------------------------------------------------\n\nThe following diagram shows a user from a specific identity group and from the\nallowlisted IP address range accesses Cloud Run inside a service\nperimeter:\n**Figure 1.** An example of providing Cloud Run access using an identity group.\n\nConsider that you have defined the following service perimeter: \n\n```\nname: accessPolicies/222/servicePerimeters/Example\nstatus:\n resources:\n - projects/111\n restrictedServices:\n - run.googleapis.com\n - artifactregistry.googleapis.com\n vpcAccessibleServices:\n enableRestriction: true\n allowedServices:\n - RESTRICTED_SERVICES\ntitle: Example\n```\n\nTo find details about an existing service perimeter in your organization,\n[describe the service\nperimeter](/vpc-service-controls/docs/manage-service-perimeters#list-and-describe)\nusing the gcloud CLI command.\n\nIn this example, we also assume that you have defined the following resources:\n\n- An identity group called `allowed-users@example.com` that has users who you want to provide access to Cloud Run inside the perimeter.\n- An access level called `CorpDatacenters` in the same access policy as the service perimeter. `CorpDatacenters` includes an allowlisted IP address range of the corporate data centers where requests from service accounts can originate from.\n\nThe following ingress policy, `ingress.yaml`, allows Cloud Run\naccess to specific human accounts, who are part of the\n`allowed-users@example.com` group, and specific service accounts, that are\nlimited to the allowlisted IP address range: \n\n```\n- ingressFrom:\n identities:\n - serviceAccount:my-sa@my-project.iam.gserviceaccount.com\n sources:\n - accessLevel: accessPolicies/222/accessLevels/CorpDatacenters\n ingressTo:\n operations:\n - serviceName: run.googleapis.com\n methodSelectors:\n - method: \"*\"\n resources:\n - \"*\"\n- ingressFrom:\n identities:\n - group:allowed-users@example.com\n sources:\n - accessLevel: \"*\"\n ingressTo:\n operations:\n - serviceName: run.googleapis.com\n methodSelectors:\n - method: \"*\"\n resources:\n - \"*\"\n```\n\nTo apply the ingress rule, run the following command: \n\n```\ngcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml\n```\n\nWhat's next\n-----------\n\n- [Configure identity groups and third-party identities in ingress and egress rules](/vpc-service-controls/docs/configure-identity-groups)"]]
