【问题标题】:How to restrict access to GAE Flexible site only for GSuite account?如何仅限制 GSuite 帐户访问 GAE 灵活站点?
【发布时间】:2017-03-05 17:52:48
【问题描述】:

如何仅限制我在 GSuite 中的域中的所有帐户以及我明确提供的其他 Google 帐户访问 GAE 灵活站点。 AFAIR 在app.yaml 处理程序部分的标准 GAE 版本中有类似的东西。

所以我的场景:

  • 生产版本在上线前受到限制
  • 开发和阶段版本永久受限

我想在 IAM 级别执行此操作,以拒绝访问网站的流量。但我没有在文档中找到任何内容。

【问题讨论】:

    标签: google-app-engine google-apps google-app-engine-python app-engine-flexible


    【解决方案1】:

    好的,在重新考虑问题并深入研究文档后,我发现了一个关于开发环境的页面 - https://cloud.google.com/appengine/docs/standard/python/creating-separate-dev-environments

    所以我目前的解决方案不是拥有单独的版本,如 devstageprod,而是在一个项目中使用它们,而是为每个环境创建单独的项目。

    它还将简化数据库的管理——之前我考虑过在一个数据库服务器中针对特定环境使用不同的数据库。现在我将为它创建一个单独的数据库实例。

    无论如何,我在保护访问方面仍然存在问题。 我以与Restrict App Engine access to G Suite accounts on custom domain 相同的方式进行操作:

    • 将 Google 身份验证更改为我的 Google Suite 域
    • 在我的应用中添加了自定义域
    • 将我的页面域作为第二个域添加到我的 GSuite 而且我仍然可以在没有身份验证的情况下连接到我的页面 - 即使在“隐身模式”以及其他计算机和手机上也是如此。

    编辑: 作为一种解决方法,我使用了Django-lockdown 模块。暂时绰绰有余 - 我有密码,我有一个会话,我可以在中间件中设置它或作为 url 的装饰器。

    编辑 2: 我今天注意到 GAE Flexible 的一个新功能 - Identity-Aware Proxy。 这是我正在搜索的功能。您可以通过以下方式限制访问:

    • Google 帐户电子邮件:user@gmail.com
    • Google 群组:admins@googlegroups.com
    • 服务帐号:server@example.gserviceaccount.com
    • Google Apps 域:example.com

    【讨论】:

      猜你喜欢
      • 2016-05-06
      • 1970-01-01
      • 1970-01-01
      • 2013-04-15
      • 1970-01-01
      • 1970-01-01
      • 2015-10-04
      • 1970-01-01
      相关资源
      最近更新 更多