google-iam - 您如何以编程方式将成员添加到单个 Google IAP 访问列表?
问题描述
我有 2 个启用 IAP 的 terraformed/k8s-yaml 服务。
为了在基础设施刷新之间维护成员访问列表(当负载均衡器被破坏并且访问列表被擦除时),我已将 IAM 角色“受 IAP 保护的 Web 应用程序用户”分配给相关用户。
例如
resource "google_project_iam_member" "bob_iap_web_app_user" {
role = "roles/iap.httpsResourceAccessor"
member = "user:bob.cat@meow.com"
}
但是,这允许访问项目中所有受 IAP 保护的 API。是否可以添加一个过滤器以仅允许访问特定的负载均衡器?
解决方案
我可以想到两种方法来做到这一点:
等待https://github.com/terraform-providers/terraform-provider-google/issues/2613实施。
您可以在项目级别使用条件授权来设置类似“如果请求主机是 meow.com,bob.cat 可以访问,如果请求主机是 woof.com,alice.dog 可以访问”。
--Matthew,谷歌云 IAP 工程
推荐阅读
- c# - 使用 OnSelectIndexChanging 禁用链接按钮
- javascript - 如何为自定义元素扩展 ElementView 以便它实际显示我想要的内容并无错误地接受标记?
- python-3.x - 如何从 StreamReader 访问 uvloop 版本的 asyncio.Server?
- copy - 如何同步具有匹配名称的文件
- ruby - 如何在不重复代码的情况下记住一个类的所有实例?
- typescript - Update a property using parent template's event handlers
- r - 如何从无意义的条目中清除矩阵?
- bash - Full battery notification in Ubuntu Script.sh
- firebase - Problem to retrieve data from firestore inside Listener
- laravel - How to hide Laravel crsf token from appearing in URL?