我正在构建一个应用程序,用户可以使用该应用程序为项目注册(从IAM页面)访问该项目的资源。点击URL时我需要身份验证。有没有办法实现这个目标?
是否可以提供特定于用户请求的IAM角色(假设用户将使用其电子邮件ID登录)以根据IAM级别权限访问资源?
答案 0 :(得分:0)
根据您的措辞,我假设您正在尝试将GCP项目的管理任务抽象给较少特权的管理员。
通过使用预先构建的角色在IAM中定义权限或在需要更具体的情况下创建自定义角色,可以快速解决问题1和问题2。在此,您可以使用GSuite,GMail,Google Group帐户,并让他们登录 console.cloud.google.com 。因此,他们只能看到你在IAM中分配给他们的内容并采取行动。
如果您仍想自行构建,每个产品都会提供包括身份验证在内的API。您的用例的最佳做法是,不是为单个用户分配对资源的访问权限,而是创建服务帐户,然后允许用户调用该服务帐户。为此,GCP已明确描述了服务帐户角色 in the official documentation,并且Salmaan Rashid也提供了good practical insight on medium。
答案 1 :(得分:0)
在AppEngine的早期阶段,很容易做一些基本的身份验证/访问控制,但最近他们将它转移到名为IAP的东西。