セキュリティ上の観点から、Cloud Run を内部からのみしか叩けないサービスにしたい時、Ingress 設定を「内部のみ」にするか、認証設定を「認証が必要」にするかのどちらか or どちらもになると思います。 
Ingress の説明には以下のように記載されており、例えば Cloud Functions から Cloud Run を叩くといった構成の場合だと、「内部のみ」に設定して叩けそうですが、何故かエラーで叩けませんでした。
<blockquote>
Cloud Run サービスへのネットワーク アクセスを制限します。 同じプロジェクト内または VPC SC 境界内にある VPC ネットワーク、Pub/Sub、Eventarc からのリクエストは、内部リクエストとみなされます。 IAM 起動元の権限は引き続き適用されます。
</blockquote>
もしかすると、実行元が Cloud Functions の場合は、<a href="https://cloud.google.com/vpc/docs/configure-serverless-vpc-access" target="_blank" rel="nofollow noopener noreferrer">サーバーレス VPC アクセス</a> を構成する必要があるのかもしれません。 
個人的なプロジェクトの場合、なるべく簡素な構成にしたいため、こういった VPC Connector の採用は見送りました。
そのため、認証設定を「認証が必要」にすることで、Cloud Run が勝手に叩かれないようにしました。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--xrdGzFaq--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/c92b002d570b0ce43a80402e.png%3Fsha%3D12a5506208252075a18e104330d01c6a1fde3435" alt="Settings" loading="lazy" class="md-img">
<h1 id="%E8%AA%8D%E8%A8%BC%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA-cloud-run-%E3%82%92%E5%8F%A9%E3%81%8F">
<a class="header-anchor-link" href="#%E8%AA%8D%E8%A8%BC%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA-cloud-run-%E3%82%92%E5%8F%A9%E3%81%8F" aria-hidden="true"></a> 認証が必要な Cloud Run を叩く</h1>
以下の流れで、認証が必要な Cloud Run を叩けるように設定していきます。
<h2 id="%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%AB%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%AB%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%99%E3%82%8B" aria-hidden="true"></a> サービスアカウントにロールを付与する</h2>
まずは、対象の Cloud Run を叩く元が使用するサービスアカウントに、<code>Cloud Run 起動元</code> というロールを付与することで、叩くための権限を設定します。
<ol>
<li>
<a href="https://console.cloud.google.com/run" target="_blank" rel="nofollow noopener noreferrer">Cloud Run ページ</a> へ移動する</li>
<li>「認証が必要」と設定した Cloud Run サービスの左側に表示されている、チェックボックスにチェックを入れる</li>
<li>右側に「プリンシパルを追加」ボタンが表示されているので、それをクリックする</li>
<li>Cloud Run を叩く元が使用するサービスアカウントを入力する（Cloud Functions であれば、<code>${YOUR_PROJECT_ID}@appspot.gserviceaccount.com</code>）</li>
<li>「ロールを選択」ドロップダウンで、<code>Cloud Run 起動元</code> (<code>roles/run.invoker</code>) ロールを選択する</li>
<li>「保存」をクリックする</li>
</ol>
<h2 id="%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%83%98%E3%83%83%E3%83%80%E3%83%BC%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%83%98%E3%83%83%E3%83%80%E3%83%BC%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B" aria-hidden="true"></a> リクエストヘッダーを作成する</h2>
Cloud Functions から認証ヘッダーを Cloud Run に渡して実行できるようにします。 
例えば Python であれば、以下のようなコードになります。
<div class="code-block-container"><pre class="language-python"><code class="language-python">audience = "https://my-cloud-run-service.run.app/"

auth_req = google.auth.transport.requests.Request()
id_token = google.oauth2.id_token.fetch_id_token(auth_req, audience)
headers = {"Authorization": f"Bearer {id_token}"}
response = requests.post(
 audience + "world", headers=headers, json={"message": "Hello"}
)
</code></pre></div>GCP のサービスであれば、サービスアカウントが自動で設定されているため、それを使用して認証ヘッダーを作成しています。
<h1 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h1>
こちらの記事は、以下の記事を参考にしました。
<iframe id="zenn-embedded__6f172156a91af" src="https://embed.zenn.studio/card#zenn-embedded__6f172156a91af" data-content="https%3A%2F%2Fcloud.google.com%2Frun%2Fdocs%2Fauthenticating%2Fservice-to-service" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://cloud.google.com/run/docs/authenticating/service-to-service" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://cloud.google.com/run/docs/authenticating/service-to-service</a>
Python の場合は、<code>urllib</code> が使われているので、そちらを <code>requests</code> を使うコードに変更しました。 
また、リクエスト先の URL は <code>audience</code> と同じで良いのかよく分からなかったのですが、結果として、同じで大丈夫でした。
細かい部分や、他のケース・プログラミング言語に関しては、上記の記事が参考になるかと思います。 
こちらの記事も合わせて参考になれば幸いです。

認証が必要な Cloud Run を別サービスから叩く方法

サービスアカウントにロールを付与する

リクエストヘッダーを作成する

Discussion