我一直在使用GCP的云功能,但我担心它们会通过HTTP暴露给广泛的互联网。
有没有一种方法可以限制谁可以成功运行GCP托管的云功能?例如。通过身份验证或某些巧妙的令牌使用。
我想要的结果是我的Web应用程序能够运行云功能,但我不希望任何人都能获得正确的输出。
我想在云函数的代码中包含一些身份验证(例如,检查Cookie或针对某些内容的令牌),但我希望不要重蹈覆辙。
有什么建议吗?
答案 0 :(得分:4)
使用 IAM角色。
Here,您可以看到可以授予每个用户的所有角色。
就您而言,我假设您需要担任cloudfunctions.invoker角色。
您还可以在授予角色时设置条件,并根据condition type选择Resource Name,以便可以在每个功能上设置不同的角色。