🔥
Cloud Scheduler から IAP で保護された Cloud Run を叩く
構成
構成の理由
- Cloud Run の URL を直接叩く場合、Ingress を「すべてのトラフィックを許可する」に設定する必要があるため。SchedulerからRunへの呼び出しは「内部」扱いにならない。
設定のキモ
- Scheduler
- OIDCトークンを追加 を設定
- 対象(Audience)にIAPのクライアントIDを設定
- 参考となるドキュメントが見つけられず・・・
- サービスアカウントに「Cloud Run起動元」のロールを付与
- IAP
- Schedulerのサービスアカウントに「IAP-secured Web App User」のロールを付与
Discussion