Google Cloudで管理画面（管理サイト）を動かすときには、Cloud IAP（Identity-Aware Proxy）がとても便利です。
例えば、Cloud Runにデプロイされた管理サイトをIAP越しに動かすことで「特定のGoogleアカウントに対してのみアクセスを許可する」といったことが簡単に実現できます。
この記事は、IAPを導入したうえでより細かな権限管理をする方法についてメモしたものです。IAPの詳細はドキュメントを確認してください。
<iframe id="zenn-embedded__daf8a0ab570c8" src="https://embed.zenn.studio/card#zenn-embedded__daf8a0ab570c8" data-content="https%3A%2F%2Fcloud.google.com%2Fiap%2Fdocs%2Fconcepts-overview" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://cloud.google.com/iap/docs/concepts-overview" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://cloud.google.com/iap/docs/concepts-overview</a>
<h1 id="iap%E8%B6%8A%E3%81%97%E3%81%AB%E5%8B%95%E3%81%8F%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A7%E3%82%88%E3%82%8A%E7%B4%B0%E3%81%8B%E3%81%AA%E6%A8%A9%E9%99%90%E7%AE%A1%E7%90%86%E3%82%92%E3%81%97%E3%81%9F%E3%81%84">
<a class="header-anchor-link" href="#iap%E8%B6%8A%E3%81%97%E3%81%AB%E5%8B%95%E3%81%8F%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A7%E3%82%88%E3%82%8A%E7%B4%B0%E3%81%8B%E3%81%AA%E6%A8%A9%E9%99%90%E7%AE%A1%E7%90%86%E3%82%92%E3%81%97%E3%81%9F%E3%81%84" aria-hidden="true"></a> IAP越しに動くアプリケーションでより細かな権限管理をしたい</h1>
<aside class="msg message">!<div class="msg-content">
Cloud RunやApp Engineを使っており、IAPが意図せずバイパスされることはないという前提で書いていきます。
</div></aside>
IAP越しに動かしているアプリケーションで、より細かな権限管理をしたくなることもあると思います。例えば以下のようなケースです。
<ul>
<li>個人情報にアクセスできるのは管理者の中でも一部の人に限定したい</li>
<li>編集・削除といった操作ができるのは管理者の中でも一部の人に限定したい</li>
</ul>
<h2 id="%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%83%98%E3%83%83%E3%83%80%E3%81%8B%E3%82%89%E5%8F%96%E3%82%8A%E5%87%BA%E3%81%9B%E3%82%8B%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%8C%E4%BD%BF%E3%81%88%E3%81%9D%E3%81%86">
<a class="header-anchor-link" href="#%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%83%98%E3%83%83%E3%83%80%E3%81%8B%E3%82%89%E5%8F%96%E3%82%8A%E5%87%BA%E3%81%9B%E3%82%8B%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%8C%E4%BD%BF%E3%81%88%E3%81%9D%E3%81%86" aria-hidden="true"></a> リクエストヘッダから取り出せるメールアドレスが使えそう</h2>
IAPを経由したリクエストでは、リクエストヘッダからメールアドレスを信頼できる形で取り出すことができます。具体的には、<code>"X-Goog-IAP-JWT-Assertion"</code>という署名付きのヘッダから取得したペイロードの中には<code>email</code>という値が含まれています。
このあたりについては<a href="https://cloud.google.com/iap/docs/signed-headers-howto" target="_blank" rel="nofollow noopener noreferrer">ドキュメント</a>にも記載されていますが、参考までにNode.js + TypeScriptを使ったサンプルを載せておきます。
<div class="code-block-container"><pre class="language-bash"><code class="language-bash"># 事前に必要なパッケージをインストール
$ npm i google-auth-library gcp-metadata
</code></pre></div><a href="https://www.npmjs.com/package/gcp-metadata" target="_blank" rel="nofollow noopener noreferrer">gcp-metadata</a>は稼働中のGoogle Cloudのプロジェクトのメタデータの取得に使います。
<div class="code-block-container">
<div class="code-block-filename-container">example.ts</div>
<pre class="language-ts"><code class="language-ts">import { OAuth2Client } from 'google-auth-library';
import * as metadata from 'gcp-metadata';

// リクエストのたびにプロジェクトの情報を取得するのはコストが高いためキャッシュする
// https://cloud.google.com/nodejs/getting-started/authenticate-users
let aud: string;

async function getAudience() {
 if (aud) return aud;
 if (!await metadata.isAvailable()) {
 throw new Error("プロジェクトのメタデータが取得できませんでした")
 }

 const projectNumber = await metadata.project('numeric-project-id');
 const projectId = await metadata.project('project-id');

 aud = `/projects/${projectNumber}/apps/${projectId}`;
 return aud;
}



async function getIapUserEmail(iapJwt: string): null | string {
 const aud = await getAudience();
 const { pubkeys } = await oAuth2Client.getIapPublicKeys();

 const ticket = await oAuth2Client.verifySignedJwtWithCertsAsync(
 iapJwt,
 pubkeys,
 aud,
 ['https://cloud.google.com/iap']
 );

 const payload = ticket.getPayload();
 if (!payload) return null;

 return payload.email
}
</code></pre>
</div>以下のような感じでリクエストユーザーのメールアドレスを取得できます。
<div class="code-block-container"><pre class="language-ts"><code class="language-ts">const iapJwt = req.header('X-Goog-IAP-JWT-Assertion');
const userEmail = await getIapUserEmail(iapJwt)
</code></pre></div><h2 id="%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E3%82%82%E3%81%A8%E3%81%AB%E6%A8%A9%E9%99%90%E7%AE%A1%E7%90%86%E3%82%92%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E3%82%82%E3%81%A8%E3%81%AB%E6%A8%A9%E9%99%90%E7%AE%A1%E7%90%86%E3%82%92%E3%81%99%E3%82%8B" aria-hidden="true"></a> メールアドレスをもとに権限管理をする</h2>
あとはメールアドレスに対応する権限の一覧をデータベースなどに持たせておいて、アプリケーションの中でチェックするだけです。アクセスするのが数人に限られるのであれば、権限一覧をJSONで書いてしまっても良いかもしれません（Gitで権限を管理できるというメリットもあります）。
ここではJSONを使った簡単なサンプルコードを載せておきます。
<div class="code-block-container"><pre class="language-ts"><code class="language-ts">// ユーザーの権限一覧
const userRoles = [
 {
 email: "hanako@example.com",
 role: "admin"
 },
 {
 email: "takashi@example.com",
 role: "member"
 },
 ...
]

const iapJwt = req.header('X-Goog-IAP-JWT-Assertion');
const userEmail = await getIapUserEmail(iapJwt)
// リクエストユーザーの権限
const useRole = userRoles.find(({ email }) =&gt; email === userEmail).role
</code></pre></div>取得した権限をもとに処理を振り分ければOKです。
<div class="code-block-container"><pre class="language-ts"><code class="language-ts">if (useRole !== "admin") {
 return res.status(403).json({ message: "この操作は許可されていません" })
}
</code></pre></div>より良い方法をご存知の方は、ぜひコメントなどで教えてください 👏

IAPのリクエストヘッダから取得したemailを使って細かな権限管理をする

リクエストヘッダから取り出せるメールアドレスが使えそう

メールアドレスをもとに権限管理をする

IAP越しに動くアプリケーションでより細かな権限管理をしたい

hama24

catnose

サンプルコード一寸ミスってそう。<code>getIapUserEmail</code>関数内、変数 <code>assertion</code> → <code>iapJwt</code> じゃないかと

ミスってました！ありがとうございます！！！！

Discussion