0

我有 2 个启用 IAP 的 terraformed/k8s-yaml 服务。

为了在基础设施刷新之间维护成员访问列表(当负载均衡器被破坏并且访问列表被擦除时),我已将 IAM 角色“受 IAP 保护的 Web 应用程序用户”分配给相关用户。

例如

resource "google_project_iam_member" "bob_iap_web_app_user" {
   role   = "roles/iap.httpsResourceAccessor"
   member = "user:bob.cat@meow.com"
}

但是,这允许访问项目中所有受 IAP 保护的 API。是否可以添加一个过滤器以仅允许访问特定的负载均衡器?

4

1 回答 1

0

我可以想到两种方法来做到这一点:

  1. 等待https://github.com/terraform-providers/terraform-provider-google/issues/2613实施。

  2. 您可以在项目级别使用条件授权来设置类似“如果请求主机是 meow.com,bob.cat 可以访问,如果请求主机是 woof.com,alice.dog 可以访问”。

--Matthew,谷歌云 IAP 工程

于 2019-07-11T23:29:37.650 回答