이 페이지에서는 인그레스 및 이그레스 규칙에서 ID 그룹 및 서드 파티 ID를 사용하는 방법을 보여줍니다.
이 페이지에는 인그레스 및 이그레스 규칙에서 ID 그룹을 사용하는 다음 예시가 포함되어 있습니다.
- Cloud Run이 인터넷을 통해 ID 그룹의 구성원과 허용 목록에 추가된 IP 주소 범위의 특정 서비스 계정에 액세스하도록 허용합니다.
ID 그룹의 구성원 및 특정 서비스 계정에 액세스하도록 Cloud Run 액세스 허용
다음 다이어그램은 특정 ID 그룹의 사용자와 허용 목록에 추가된 IP 주소 범위의 사용자가 서비스 경계 내에서 Cloud Run에 액세스하는 것을 보여줍니다.
다음과 같은 서비스 경계를 정의했다고 가정해 보겠습니다.
name: accessPolicies/222/servicePerimeters/Example
status:
resources:
- projects/111
restrictedServices:
- run.googleapis.com
- artifactregistry.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Example
조직의 기존 서비스 경계에 대한 세부정보를 찾으려면 gcloud CLI 명령어를 사용하여 서비스 경계를 설명합니다.
이 예시에서는 다음 리소스도 정의했다고 가정합니다.
- 경계 내에서 Cloud Run에 대한 액세스 권한을 부여하려는 사용자가 있는
[email protected]이라는 ID 그룹입니다. - 서비스 경계와 동일한 액세스 정책에 있는
CorpDatacenters라는 액세스 수준입니다.CorpDatacenters에는 서비스 계정의 요청이 발생할 수 있는 기업 데이터 센터의 허용 목록에 추가된 IP 주소 범위가 포함됩니다.
다음 인그레스 정책 ingress.yaml은 [email protected] 그룹에 속한 특정 사용자 계정과 허용 목록에 추가된 IP 주소 범위로 제한된 특정 서비스 계정에 대한 Cloud Run 액세스를 허용합니다.
- ingressFrom:
identities:
- serviceAccount:[email protected]
sources:
- accessLevel: accessPolicies/222/accessLevels/CorpDatacenters
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
- ingressFrom:
identities:
- group:[email protected]
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: run.googleapis.com
methodSelectors:
- method: "*"
resources:
- "*"
인그레스 규칙을 적용하려면 다음 명령어를 실행합니다.
gcloud access-context-manager perimeters update Example --set-ingress-policies=ingress.yaml