我有一项服务,提供在IAP后面的Google Cloud中运行的API。身份验证按预期工作,以允许用户访问API。
为了在更细粒度的级别上锁定API,我希望允许根据用户在Google项目中拥有的IAM角色来访问某些路径。
我想我可以使用其中一个Google其他API来获取角色列表,给出IAP标题中的用户ID(或找到一种方法来装饰带有角色信息的请求),但我没有找到我需要什么范围或使用哪种API。
有谁知道怎么做类似的事情?
我想您可以使用Directory API检索用户的组成员身份。我们的路线图中有一个项目可以将组成员身份添加到IAP JWT中,但是今天这是不可能的。
您还可以使用host and path conditions为应用内的不同路径设置不同的访问策略,例如如果路径以/ foo开头,则允许foo-users @访问;如果路径以/ bar开头,则允许bar-users @访问。
--Matthew,Google Cloud IAP工程