只是想检查一下这是否在已经可用的路线图中,而我只是错过了这些。在为一个重要项目构建我的功能时,我想应用一些防火墙规则来限制我的一些 Google Cloud 功能(HTTP 端点触发器)的网络访问,原因有很多(安全性,如果垃圾邮件引起的突然收费,请避免高价请求等)
这是可用的还是正在筹备中?如果不是,您将如何限制对特定功能的访问,只允许少数 Google Compute Engine、其他 GCF 和其他 Google Cloud 服务(Firestore、Storage、PubSub)。
问问题
3115 次
1 回答
5
您应该查看的不仅仅是防火墙规则,还应该使用Access Tokens验证您对 Cloud Functions 的请求。
基本上,您将创建一个 HTTP 触发的云函数。
首先创建一个存储桶,我的名为auth-123 。然后放入Cloud shell 并将项目名称和存储桶定义为环境变量:
jordim@yrmv-191108:~$ export BUCKET=auth-123
jordim@yrmv-191108:~$ export PROJECT=yrmv-191108
创建几个服务帐户
jordim@yrmv-191108:~$ gcloud iam service-accounts create alpha-account --
display-name "Account 1"
jordim@yrmv-191108:~$ gcloud iam service-accounts create beta-account --display-name "Account 2"
Created service account [beta-account].
现在来创建函数!在您的云外壳上的文件夹中,首先创建一个带有依赖项的 package.json:
jordim@yrmv-191108:~/cloudfunction$ cat > package.json
{
"dependencies": {
"googleapis": "21.2"
}
}
现在函数本身:
const Google = require('googleapis');
const BUCKET = 'auth-123'; // Replace with name of your bucket
/**
* Cloud Function.
*
* @param {Object} req Cloud Function request context.
* @param {Object} res Cloud Function response context.
*/
exports.secureFunction = function secureFunction(req, res) {
var accessToken = getAccessToken(req.get('Authorization'));
var oauth = new Google.auth.OAuth2();
oauth.setCredentials({access_token: accessToken});
var permission = 'storage.buckets.get';
var gcs = Google.storage('v1');
gcs.buckets.testIamPermissions(
{bucket: BUCKET, permissions: [permission], auth: oauth}, {},
function (err, response) {
if (response && response['permissions'] && response['permissions'].includes(permission)) {
authorized(res);
} else {
res.status(403).send("The request is forbidden.");
}
});
function authorized(res) {
res.send("The request was successfully authorized.");
// The code to execute goes here! :)
}
}
function getAccessToken(header) {
if (header) {
var match = header.match(/^Bearer\s+([^\s]+)$/); //We are looking for an HTTP request with the content Bearer: + a token
if (match) {
return match[1];
}
}
return null;
}
在这种情况下,我们正在检查启动请求的帐户是否具有 storage.buckets.get 权限,但只需更改变量权限即可将其更改为任何其他权限。
然后部署函数:
jordim@yrmv-191108:~/cloudfunction$ gcloud beta functions deploy secureFunction --stage-bucket $BUCKET --trigger-http
现在您有了一个云功能,只有在收到来自授权帐户的请求时才会触发其内容。让我们为之前创建的帐户制作代币:
jordim@yrmv-191108:~/cloudfunction$ gcloud iam service-accounts keys create --iam-account alpha-account@$PROJECT.iam.gserviceaccount.com ./alpha-account.json
jordim@yrmv-191108:~/cloudfunction$ export ALPHA_ACCOUNT_TOKEN=$(GOOGLE_APPLICATION_CREDENTIALS=./alpha-account.json gcloud auth application-default print-access-token)
jordim@yrmv-191108:~/cloudfunction$ gcloud iam service-accounts keys create --iam-account beta-account@$PROJECT.iam.gserviceaccount.com ./beta-account.json
created key [4a9251d7611e74da8b4565657b52b7c940606630] of type [json] as [./beta-account.json] for [beta-account@yrmv-191108.iam.gserviceaccount.com]
jordim@yrmv-191108:~/cloudfunction$ export BETA_ACCOUNT_TOKEN=$(GOOGLE_APPLICATION_CREDENTIALS=./beta-account.json gcloud auth application-default print-access-token)
我们现在在 json 上有 auth 令牌,并将它们导出为 env var 以便于测试。让我们授予 ALPHA 用户权限,而不是授予 BETA 用户:
jordim@yrmv-191108:~/cloudfunction$ gsutil acl ch -u alpha-account@$PROJECT.iam.gserviceaccount.com:R gs://auth-123
现在来测试:
jordim@yrmv-191108:~/cloudfunction$ curl https://us-central1-yrmv-191108.cloudfunctions.net/secureFunction -H "Authorization: Bearer $ALPHA_ACCOUNT_TOKEN"
The request was successfully authorized.
jordim@yrmv-191108:~/cloudfunction$ curl https://us-central1-yrmv-191108.cloudfunctions.net/secureFunction -H "Authorization: Bearer $BETA_ACCOUNT_TOKEN"
The request is forbidden
您可以将此逻辑应用于您的任何云功能,除非请求的标头带有有效的令牌,否则用于拒绝它的资源量是最小的。
于 2018-01-10T10:30:26.110 回答