我有一项服务,提供了在IAP后的Google Cloud中运行的API。身份验证正在按预期工作,以允许用户访问API。
为了更详细地锁定API,我希望允许基于用户在Google项目中担任的IAM角色来访问某些路径。
我以为我可以使用一种Google rest API来获取角色列表,以获取IAP标头中提供的用户ID(或者找到一种用角色信息修饰请求的方法),但是我失败了找出我需要什么范围或使用哪个API。
有人知道怎么做类似的事情吗?
答案 0 :(得分:1)
我认为您也许可以使用Directory API来检索用户的组成员身份。我们的路线图中确实有一个项目可以将组成员身份添加到IAP JWT中,但是今天还不可能。
您还可以使用host and path conditions为应用内的不同路径设置不同的访问策略,例如如果路径以/ foo开头,则允许foo-users @访问;如果路径以/ bar开头,则允许bar-users @访问。
-马修(Matthew,Google Cloud IAP工程)