我有一个带有 App Engine 应用资源的 GCP 项目。我使用 Identity-Aware Proxy 在控制台中的 App Engine 应用程序上设置用户和角色。我现在想以编程方式管理 IAP 中的用户。
目前,我可以使用以下方法获取项目中包含的“所有 Web 服务”的 IAM 策略:
const request = {
resource_: <project-id>,
resource: {},
auth: authClient
};
try {
const response(await cloudresourcemanager.projects.getIamPolicy(request)).data
} ...
如何获取 App Engine 应用资源的具体政策?
我更喜欢直接在应用程序资源上指定策略,而不是在“所有 Web 服务”上。
有关详细信息,请参阅 GCP IAP 屏幕截图: GCP IAP 上 App Engine 应用的政策
第一步是读取资源 (App Engine) 的现有 IAP IAM 政策。将大写字母替换为您的项目和 App Engine 服务的正确值:
POST https://iap.googleapis.com/v1beta1/projects/PROJECT_NUMBER/iap_web/appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:getIamPolicy
修改策略以添加/删除/更改 IAM 成员 ID 的角色,并将新的 IAM 策略作为请求正文回发:
POST https://iap.googleapis.com/v1beta1/projects/PROJECT_NUMBER/iap_web/appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:setIamPolicy
这些链接将向您展示如何使用 REST API。
从这里开始了解如何列出 App Engine 服务:
此链接是管理 IAP 访问的概述:
用于管理 IAM 权限的 IAP REST API: