我有2个启用了IAP的terraformed / k8s-yaml服务。
为了在两次刷新之间维护成员访问列表(当负载平衡器被破坏,因此擦除了访问列表时),我已将IAM角色“ IAP保护的Web应用程序用户”分配给相关用户。
例如
resource "google_project_iam_member" "bob_iap_web_app_user" {
role = "roles/iap.httpsResourceAccessor"
member = "user:bob.cat@meow.com"
}
但是,这允许访问项目中所有受IAP保护的API。您是否可以添加仅允许访问特定负载均衡器的过滤器?
答案 0 :(得分:0)
我可以想到两种方法:
等待https://github.com/terraform-providers/terraform-provider-google/issues/2613实施。
您可以在项目级别使用conditional grants来设置类似“如果请求主机为meow.com,bob.cat可以访问,如果请求主机为woof.com,alice.dog可以访问”
-马修(Matthew,Google Cloud IAP工程)