Closed5

CloudRunに直接IAPを設定してみる

kterui9019kterui9019

セキュリティタブから設定

GUI上は一回サービス作ってからじゃないと設定できないっぽい

kterui9019kterui9019

service-{PROJECT_NUMBER}@gcp-sa-iap.iam.gserviceaccount.comがない旨エラーが出るので追加
run.invokerが必要らしい

resource "google_project_iam_member" "cloud_run_iap_sa" {
  project = local.google_cloud_project
  member  = "serviceAccount:service-XXXXXXXXXX@gcp-sa-iap.iam.gserviceaccount.com"
  role    = "roles/run.invoker"
}

invokerなんだ このSAはどのリソースにアタッチされるんだろう?

kterui9019kterui9019

😇

自分にIAPアクセスできる権限を振ってみる

resource "google_project_iam_member" "iap_resource_accessor" {
  project = local.google_cloud_project
  member  = "user:<email>"
  role    = "roles/iap.httpsResourceAccessor"
}
kterui9019kterui9019

反映までちょっと時間かかったけど、通った

このスクラップは3日前にクローズされました