GCP 中的身份感知代理 (IAP)

Question

我正在学习 GCP 中的 IAP，它用于对 GCP 托管应用进行身份验证和授权。

想法

甚至在 GCP 中引入 IAP 之前，就可以使用登录凭据和 google IAM 策略对用户进行身份验证和授权。

好的，IAP 取代了 VPN，用户可以在不受信任的网络上工作。

查询

如果我想错了，请纠正我。

但是如果我的 app./resource 托管在 GCP 中，那么它可以通过适当的身份验证和授权公开访问，显然不需要 VPN。在这种情况下，IAP 的意义何在。

IAP 中的新功能是什么，因为 IAP 在身份验证和授权方面也做同样的事情？

Answer 1

如果您已经拥有一个通过适当的身份验证和授权保护的应用程序，那么您在技术上就不需要 IAP，尽管它仍然可能是可取的。原因之一是 IAP 使您能够在应用程序之外配置个人访问，而不是需要在应用程序代码内部控制 ACL。 App Engine IAP quickstart 很好地概述了 IAP 配置如何保护应用程序。

您可以将 IAP 视为充当 VPN 的角色，同时为您提供 OAuth 的灵活性。它主要针对外围安全，传统上通过使用防火墙和 VPN 来保护特权网络资源，例如托管在本地的内部网。 IAP 允许您以与在本地进行的方式大致相同的方式设置云托管的 Intranet，并通过 IAP 在外围处理访问控制。这在 Google 研究论文“BeyondCorp - A New Approach to Enterprise Security”中有很好的解释。