GCP中的身份识别代理(IAP)

时间:2017-03-20 12:41:07

标签: google-app-engine google-cloud-platform google-compute-engine google-authentication google-identity

我正在了解GCP中的IAP,它用于对GCP托管应用进行身份验证和授权。

思想

即使在GCP中引入IAP之前,也可以使用登录凭据和Google IAM政策对用户进行身份验证和授权。

好的,IAP取代了VPN,用户可以在不受信任的网络上工作。

查询

如果我错了,请纠正我。

但如果我的app./resource托管在GCP中,而不是通过适当的身份验证和授权公开访问,那么显然不需要VPN。在这种情况下,IAP的意义是什么。

IAP中的新功能是什么,因为IAP也对身份验证和授权做了同样的事情。

1 个答案:

答案 0 :(得分:3)

如果您已经获得了通过适当的身份验证和授权保护的应用程序,您在技术上不需要IAP,尽管仍然可能需要。一个原因是IAP使您能够在应用程序之外配置单独访问,而不是需要在应用程序代码内部控制ACL。 App Engine IAP quickstart很好地概述了IAP配置如何保护应用程序。

您可以将IAP视为充当VPN的角色,同时也为您提供OAuth的灵活性。它主要针对周边安全性,传统上通过使用防火墙和VPN来保护特权网络资源(如内部托管的内部网)来实现。 IAP允许您以与本地内容相同的方式设置云托管的Intranet,IAP在周边处理访问控制。这在Google研究论文" BeyondCorp - A New Approach to Enterprise Security"。

中得到了很好的解释