如何仅限制我在 GSuite 中的域中的所有帐户以及我明确提供的其他 Google 帐户对 GAE 灵活站点的访问。AFAIR 在app.yaml处理程序部分的标准 GAE 版本中有类似的东西。
所以我的场景:
- 生产版本在上线之前受到限制
- dev 和 stage 版本永久受限
我想在 IAM 级别执行此操作,以拒绝访问该站点的流量。但是我在文档中没有找到任何东西。
问问题
593 次
1 回答
2
好的,在重新考虑问题并深入研究文档后,我发现了一个关于开发环境的页面 - https://cloud.google.com/appengine/docs/standard/python/creating-separate-dev-environments。
因此,我当前的解决方案不是在一个项目中使用单独的版本,例如dev,stage并prod使用它们,而是为每个环境创建单独的项目。
它还将简化数据库的管理——之前我考虑过在一个数据库服务器中针对特定环境使用不同的数据库。现在我将拥有一个单独的数据库实例。
无论如何,我仍然有安全访问的问题。我以与Restrict App Engine access to G Suite accounts on custom domain中相同的方式执行此操作:
- 将 Google 身份验证更改为我的 Google Suite 域
- 在我的应用程序中添加了自定义域
- 将我的页面域作为第二个域添加到我的 GSuite 并且我仍然可以在没有身份验证的情况下连接到我的页面 - 即使在“隐身模式”以及其他计算机和手机上也是如此。
编辑: 作为一种解决方法,我使用了Django-lockdown模块。暂时绰绰有余 - 我有密码,我有一个会话,我可以在中间件中设置它或作为 url 的装饰器。
编辑 2: 我今天注意到 GAE Flexible - Identity-Aware Proxy中的一个新功能。这是我正在搜索的功能。您可以通过以下方式限制访问:
- Google 帐户电子邮件:user@gmail.com
- 谷歌群组:admins@googlegroups.com
- 服务帐号:server@example.gserviceaccount.com
- Google Apps 域:example.com
于 2017-03-06T12:49:26.730 回答