IAP：限制对管理员的访问，允许对公共网站的开放访问

Question

我有一个带有www.domain.tld / admin命名空间的Web应用程序，我希望使用Google IAP保护该应用程序。

但是，我不想限制访问我们面向公众的网站www.domain.tld。

是否有任何策略可以使访问权限完全开放给我们的网站，同时限制对“管理员”的访问？

Answer 1

如果您正在使用GCLB将流量发送到GCE或GKE，则可以这样做：

1. 在GCLB中创建两个不同的后端服务，分别称为“ public_site”和“ admin_site”。您甚至可以将它们指向同一台服务器，尽管将它们尽可能地分开是更好的安全性。
2. 使用URLMap设置GCLB，该URLMap将/ admin发送到admin_site，将其他所有内容发送到public_site。
3. 仅为admin_site启用IAP。

这利用了基于每个后端启用/禁用IAP的事实。