🔒
Cloud Run で Identity-Aware Proxy (IAP) を使用し、外部のGWSアカウントや特定のgmailも許可
概要
備忘録的にまずは殴り書きです。
余裕があるときに清書します。
要件
- CloudRunで公開しているNext.jsアプリにBasic認証をかけたい
- しかし、それは難しい。
- 組織としてGWSを使用しているので、そのアカウントでログインできるようにする。
- 関連する外部にはGWSの機能制限アカウントを発行して共通で配布
手順
- OAuth同意画面設定
- scopeは基本的なもののみでOK
- 「外部」にして「テスト」に設定
- IAMでユーザー指定するため、ここでのユーザー追加不要
- ロードバランサー設定調整
- CDNをオフにする。オンだとIAPが使えない
- CloudRunの設定調整
- 「ネットワーキング」タブでIngressの制御を「内部」に変更
- 「外部アプリケーション ロードバランサからのトラフィックを許可する」をチェック
- 「セキュリティ」タブで「未承認の呼び出しを許可」
- ネットワークで内部に制限されているから、未承認で問題ない。
- 逆に「承認が必要」だと他の設定完了してもアクセスできない。
- 「ネットワーキング」タブでIngressの制御を「内部」に変更
- IAP設定
2. 対象のバックエンドサービスで「IAP」のトグルボタンをオン
Discussion