如何在GCP / Cloud DNS / HTTPS应用程序中限制对小型用户社区(IAM用户)的访问

Question

我请求将访问(访问控制)限制到GCP中的一个小型用户社区。让我解释一下这个问题。

这是当前设置的：

• 有效的GCP组织: MyOrganization.com (在该组织下部署/供应GCP项目)
• 云DNS (用于配置域名、A& TXT记录、区域和子域以构建应用程序的URL )。
• Oauth客户端设置(令牌、授权重定向URI等)。
• HTTPS负载均衡器(GKE -managed k8s服务-带有入口服务)、SSL证书和由可信CA颁发的密钥。
• 应用程序是使用python + Django框架构建的。

我已经部署了应用程序(GCP资源)，它正在顺利地工作。问题是，由于我们在GCP中工作，所有拥有有效userID@MyOrgnization.com的IAM用户都可以访问应用程序(https://URL-for-my-Appl.com)。

现在，我有了一个新的请求，它包括只对GCP组织中的一个小用户社区限制对应用程序的访问(访问控制)。

例如，我需要确保只有特定的IAM用户才能访问应用程序(https://URL-for-my-Appl.com)，例如：

1. user1@MyOrganization.com
2. user2@MyOrganization.com
3. user3@MyOrganization.com
4. user4@MyOrganization.com

考虑到我之前发送的信息，我怎么能做到这一点？

谢谢!

Answer 1

为了做到这一点，您可以使用云IAP (身份感知代理)。

身份感知代理(IAP)允许您管理对运行在App标准环境、App灵活环境、Compute和GKE中的应用程序的访问。IAP为HTTPS访问的应用程序建立了一个中央授权层，因此您可以采用应用程序级访问控制模型，而不是使用网络级防火墙。打开IAP时，还必须使用签名头或API标准环境用户API来保护应用程序。

注意:您可以在负载均衡器上配置它。

您的应用程序是否使用google还不清楚(但考虑到您谈论的是受组织限制的登录，我认为是这样的)--如果是这样的话，如果您使用的是用户API，那么您应该能够启用它而无需触摸应用程序中的任何内容。

Answer 2

最好和最简单的解决方案是在HTTPS负载平衡器上部署IAP (身份感知代理)

然后，只授予您想要的用户(或者创建一个通用用户组并授予它，它通常更容易管理)