我想知道是否可以使用云端点限制/隐藏对我的云功能的直接访问。
我遵循了来自 Google 的 this 教程。
在链接上它说:
通过此设置,ESP 会拦截对您的函数的所有请求,并在调用函数之前执行任何必要的检查(例如身份验证)
我设法完成了教程,在端点上添加了 JWT 身份验证机制。但即使我可以使用 CloudRun/ESP 的 URL 访问(启用保护),我仍然可以从函数的直接 URL 访问(保护不适用于此级别,因此不安全)。我怎样才能避免这种情况?。
提前致谢!
【问题讨论】:
标签: google-cloud-platform google-cloud-functions google-cloud-endpoints
这里是 GCF PM,
您需要启用 GCF IAM,如第 5 步后半部分所述,“授予 ESP 调用您的函数的 Cloud Identity and Access Management (Cloud IAM) 权限。”
这需要“开始之前”的第 7 步,即joining the Alpha whitelist
之后,您可以保护上述功能:
gcloud alpha functions add-iam-policy-binding FUNCTION_NAME \
--member "serviceAccount:ESP_PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
--role "roles/cloudfunctions.invoker" \
--project FUNCTIONS_PROJECT_ID
对 alpha 阶段产品的奇怪重叠表示歉意——GCF IAM 应该很快就会公开!
【讨论】: