身份识别代理和 App Engine 服务,每个服务一个?
Identity Aware Proxy and App Engine Services, One Per Service?
是否可以使用 Google Cloud IAP(身份识别代理)对 AppEngine 服务进行更细粒度的访问控制?
我有两个服务A和B,我希望一些用户可以访问A,我想提供一个不同的可以访问服务B的用户列表。我想用IAP来控制访问。
目前唯一的方法是通过 IAP 授予 A + B 的所有用户访问权限,然后在服务代码中进行您自己的额外访问控制。
另一种方法是在不同的项目下组织您的应用程序。
项目 A 包含 A 组用户可访问的应用程序,项目 B 包含 B 组用户可访问的应用程序。
现在可用。
对于为 IAP 配置的每个服务,您可以在信息面板中添加并允许特定用户使用每个资源或选择的资源。
角色:云 IAP > IAP 安全网络应用程序用户
不可用的是 enabling/disabling 每个服务的 IAP。
不幸的是,一旦为 App Engine 启用了 IAP,它就会为所有 App Engine 服务启用,因此您无法拥有一个 public App Engine 服务和一个以 IAP 为前端的 App Engine 服务。
其中可以通过 HTTPS 负载均衡器控制 IAP
我不知道 Google 是否添加了此问题,但现在可以控制个人服务级别的访问:
IAP
只需 select IAP 控制台中的服务,并向其添加成员。您可以添加 allUsers 以创建服务 public(如本图所示)
是否可以使用 Google Cloud IAP(身份识别代理)对 AppEngine 服务进行更细粒度的访问控制?
我有两个服务A和B,我希望一些用户可以访问A,我想提供一个不同的可以访问服务B的用户列表。我想用IAP来控制访问。
目前唯一的方法是通过 IAP 授予 A + B 的所有用户访问权限,然后在服务代码中进行您自己的额外访问控制。
另一种方法是在不同的项目下组织您的应用程序。
项目 A 包含 A 组用户可访问的应用程序,项目 B 包含 B 组用户可访问的应用程序。
现在可用。
对于为 IAP 配置的每个服务,您可以在信息面板中添加并允许特定用户使用每个资源或选择的资源。
角色:云 IAP > IAP 安全网络应用程序用户
不可用的是 enabling/disabling 每个服务的 IAP。
不幸的是,一旦为 App Engine 启用了 IAP,它就会为所有 App Engine 服务启用,因此您无法拥有一个 public App Engine 服务和一个以 IAP 为前端的 App Engine 服务。
其中可以通过 HTTPS 负载均衡器控制 IAP
我不知道 Google 是否添加了此问题,但现在可以控制个人服务级别的访问:
IAP
只需 select IAP 控制台中的服务,并向其添加成员。您可以添加 allUsers 以创建服务 public(如本图所示)