Google app engine 身份识别代理和应用引擎服务，每个服务一个？

是否可以使用Google Cloud IAP身份感知代理对AppEngine服务进行更细粒度的访问控制

---

我有两个服务A和B，我希望一些用户能够访问A，我想提供一个可以访问服务B的用户的不同列表。我想使用IAP来控制访问。

今天唯一的方法是向所有A+B用户授予IAP访问权，然后在服务代码中执行您自己的附加访问控制。

目前唯一的方法是向所有A+B用户授予IAP访问权限，然后在服务代码中执行您自己的附加访问控制。

另一种方法是在不同的项目下组织您的应用程序

---

项目A包含可供A组用户访问的应用程序，项目B包含可供B组用户访问的应用程序。

另一种方法是在不同的项目下组织应用程序

项目A包含可供A组用户访问的应用程序，项目B包含可供B组用户访问的应用程序。

此功能现在可用

对于为IAP配置的每个服务，您可以在“信息”面板中为每个资源或资源选择添加并允许特定用户

角色：云IAP>IAP安全Web应用程序用户

不可用的是启用/禁用每个服务的IAP

不幸的是，一旦为App Engine启用IAP，它将为所有App Engine服务启用，因此您无法拥有一个公共App Engine服务和一个IAP前置App Engine服务

其中，as IAP可通过HTTPS负载平衡器进行控制，该功能现在可用

对于为IAP配置的每个服务，您可以在“信息”面板中为每个资源或资源选择添加并允许特定用户

角色：云IAP>IAP安全Web应用程序用户

不可用的是启用/禁用每个服务的IAP

不幸的是，一旦为App Engine启用IAP，它将为所有App Engine服务启用，因此您无法拥有一个公共App Engine服务和一个IAP前置App Engine服务

---

在哪里可以通过HTTPS load balancher控制as IAP？我不知道Google是否添加了这个，因为有人问了这个问题，但现在可以控制单个服务级别的访问：

---

只需在IAP控制台中选择服务，并向其添加成员。您可以添加诱惑者以使服务公开，如图所示

我不知道谷歌是否添加了这一点，因为有人问了这个问题，但现在可以控制个人服务级别的访问：

---

只需在IAP控制台中选择服务，并向其添加成员。您可以添加诱惑者以使服务公开，如图所示

gke/kubnernetes是否更好？gke/kubnernetes是否更好？您能否确认这是否有效？我已经做到了这一点，即使有了allUsers，它也会继续要求对一个单独的服务进行谷歌认证。我想知道，如果是公共的，并且互联网上的任何人都可以访问，他们是否意味着登录的任何人都可以访问。是的，将诱惑添加到IAP安全的Web App用户。我尝试放置一个屏幕截图，但这里没有附加按钮。谢谢Alexei。你说得对。我以前曾尝试添加到观众中，但我感到困惑，它不起作用。对于其他人来说，添加到IAP安全的Web应用程序用户确实是解决方案！你能确认这是有效的吗？我已经做到了这一点，即使有了allUsers，它也会继续要求对一个单独的服务进行谷歌认证。我想知道，如果是公共的，并且互联网上的任何人都可以访问，他们是否意味着登录的任何人都可以访问。是的，将诱惑添加到IAP安全的Web App用户。我尝试放置一个屏幕截图，但这里没有附加按钮。谢谢Alexei。你说得对。我以前曾尝试添加到观众中，但我感到困惑，它不起作用。对于其他人来说，添加到IAP安全的Web应用程序用户确实是解决方案！