Я создаю приложение, с помощью которого пользователи, зарегистрированные (со страницы IAM) для проекта, могут получить доступ к ресурсам этого проекта. Мне нужна аутентификация при попадании по URL-адресу. Есть ли способ добиться этого?
Можно ли предоставить роли IAM, специфичные для запроса пользователя (при условии, что пользователь войдет в систему, используя свой идентификатор электронной почты) для доступа к ресурсам на основе разрешений уровня IAM?
Аутентификация App Engine для доступа к облачным ресурсам Google
Ответы (2)
В первые дни AppEngine было довольно легко выполнить базовую проверку подлинности / контроль доступа, но в последнее время они перемещают его во что-то под названием IAP.
person
Randy L
schedule
08.01.2018
Исходя из вашей формулировки, я предполагаю, что вы пытаетесь абстрагировать административные задачи проекта GCP для администраторов с меньшими привилегиями.
Вопросы 1 и 2 могут быть быстро решены путем определения привилегий в IAM с использованием предварительно созданных ролей или создания настраиваемой роли, если вам нужно быть более конкретным. Таким образом, вы можете использовать учетные записи GSuite, GMail, Google Group и позволить им входить в console.cloud.google.com. Следовательно, они смогут видеть и действовать только в соответствии с тем, что вы им назначили в IAM.
Если вы все же хотите создать его самостоятельно, каждый продукт предоставляет API, включая аутентификацию. Лучшая практика для вашего варианта использования - вместо того, чтобы назначать доступ отдельному пользователю к ресурсу, вы скорее создаете учетную запись службы, а затем разрешите пользователю вызывать эту учетную запись службы. Для этого GCP имеет роль актера сервисного аккаунта, хорошо описанную в официальной документации, а также Салмаан Рашид предоставляет хорошее практическое представление о среде.
person
YaguraStation
schedule
04.01.2018
