我正在学习 GCP 中的 IAP,它用于对 GCP 托管应用程序进行身份验证和授权。
想法
甚至在 GCP 中引入 IAP 之前,就可以使用登录凭证和 google IAM 策略对用户进行身份验证和授权。
好的,IAP 取代了 VPN,用户可以在不受信任的网络上工作。
询问
如果我想错了,请纠正我。
但是,如果我的 app./resource 托管在 GCP 中,那么它可以通过适当的身份验证和授权公开访问,显然不需要 VPN。在这种情况下,IAP 的意义何在。
IAP 中的新功能是什么,因为 IAP 在身份验证和授权方面也做同样的事情?
如果您已经拥有一个通过适当的身份验证和授权保护的应用程序,那么您在技术上就不需要 IAP,尽管它仍然可能是可取的。原因之一是 IAP 使您能够在应用程序之外配置个人访问,而不是需要在应用程序代码内部控制 ACL。App Engine IAP 快速入门很好地概述了 IAP 配置如何保护应用程序。
您可以将 IAP 视为充当 VPN 的角色,同时也为您提供 OAuth 的灵活性。它主要针对外围安全,传统上通过使用防火墙和 VPN 来保护特权网络资源,例如托管在本地的内部网。IAP 允许您以与在本地进行的方式大致相同的方式设置云托管的 Intranet,并通过 IAP 在外围处理访问控制。这在 Google 研究论文“ BeyondCorp - A New Approach to Enterprise Security ”中得到了很好的解释。