如何解决如何限制对通过Google Cloud Run部署的URL的访问?
我已经通过Google Cloud Run部署了一个应用程序。如何限制用户对正在访问的URL的访问?我只希望一组特定的用户能够使用该URL。有办法吗?
解决方法
有很多限制用户访问Cloud Run的方法:
-
每服务IAM权限:部署/编辑服务时,可以选择“仅允许经过身份验证的请求”。这基本上可以做两件事,一是限制对项目的IAM权限列表中列出的用户的访问。其次,您将能够授予对电子邮件地址和/或电子邮件域的调用权限。当访问该应用程序的用户数量不多或所有人都在同一域下接收电子邮件时,此选项特别有用。文档here。
-
Firebase身份验证:当用户群具有各种电子邮件域,并且该服务执行某种“帐户注册”时,使用Firebase Auth之类的联合身份验证服务可能会很有用。它几乎是一个即插即用的选项,允许多种签名方法,从经典的电子邮件和密码身份验证到Google或Github登录。这里要注意的一件事是,您需要为该项目启用Firebase并设置一些代码以使其正常工作。在Cloud Run documentation中列出了该选项和下一个选项。
-
身份平台:此选项与Firebase Auth大致相同,它提供了多种用户身份验证和一组实现该过程的SDK。值得一说的是,这比Firebase Auth更为复杂。 Docs。
尽管以上所有方法都可以用来实现您的目标,但是它们在完成身份验证的方式,配置身份验证所需的内容等方面有所不同。因此,建议评估应用程序的需求以对专业人员进行有意义的比较/ cons。
编辑:正如AhmetB指出的那样,Cloud IAP仍不适用于Cloud Run。在这里留下答案的一部分:
- 身份识别代理:Identity aware proxy提供了一个大致作为每服务IAM权限的身份验证层。使用此功能,您必须通过IAP设置授予对电子邮件/域的访问权限。该选项的一个区别是,特殊的Google提供的标头附加到每个传入请求中,这些标头可用于获取呼叫者的电子邮件并以编程方式验证其身份验证。
您正在寻找的是在用户浏览器中进行的“最终用户身份验证”。
因此,IAM不会帮助您解决问题。
如果您希望使用“ Google登录”按钮来构建应用程序,则可以按照https://cloud.google.com/run/docs/authenticating/end-users上的指南进行操作。但是,您将需要验证用户的真实性(JWT令牌是从Firebase身份验证中获得的),并查看他们是否被“授权”查看该页面。
如果您希望“代理”为您处理身份验证,则应使用Cloud IAP,但是在撰写本文时,启用了IAP的Cloud Load Balancer尚不支持Cloud Run。使用IAP,您可以说诸如“这些用户/组可以访问此URL”之类的内容。
另一种替代方法是运行开源代理/中间件(类似于IAP),例如Pomerium.io,以处理对用户进行身份验证并将流量代理到实际后端的操作。为此,请参见Authorizing end users in Cloud Run with Pomerium。与Cloud IAP(例如,对非Google身份提供商的支持)相比,它可以提供更大的灵活性。
,首先,您需要将这些用户带入您的GCP组织。将它们添加为组织的成员。他们的电子邮件ID足以吸引组织。接下来,您可以分配权限以查看您的云运行。 请在https://cloud.google.com/run/docs/securing/managing-access
查看管理访问权限的步骤版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。