是否可以使用Google Cloud IAP(身份识别代理)对AppEngine服务进行更细粒度的访问控制?
我有两个服务A和B,我希望一些用户能够访问A,我想提供一个可以访问服务B的不同用户列表。我想使用IAP来控制访问。
答案 0 :(得分:3)
自问了问题以来,我不知道Google是否添加了此功能,但是现在可以在单个服务级别上控制访问权限了:
只需在IAP控制台中选择服务,然后向其中添加成员。您可以添加allUsers来公开服务(如该图所示)
答案 1 :(得分:1)
今天实现这一目标的唯一方法是通过IAP授予所有A + B访问权限用户,然后在服务代码中执行自己的附加访问控制。
答案 2 :(得分:1)
现在可用。
对于为IAP配置的每个服务,您可以在“信息面板”中为每个资源或资源的选择添加并允许特定用户。
角色:Cloud IAP>受IAP保护的Web应用程序用户
不可用的是启用/禁用每个服务的IAP。
很遗憾,一旦为App Engine启用了IAP,便为所有App Engine服务启用了IAP,因此,您将无法拥有一项公共App Engine服务和一项面向IAP的App Engine服务。
可以通过HTTPS负载平衡器控制IAP的地方
答案 3 :(得分:0)
另一种方法是在不同项目下组织应用程序。
项目A包含可供A组用户访问的应用程序,项目B包含可供B组用户访问的应用程序。
