访问谷歌云资源的应用引擎身份验证

在AppEngine的早期,进行一些基本的身份验证/访问控制非常容易,但最近他们将其移动到一种叫做 IAP .

根据您的措辞,我假设您试图将GCP项目的管理任务抽象给权限较低的管理员。

通过使用预构建的角色在IAM中定义权限或创建自定义角色(如果需要更具体),可以快速解决问题1和2。在此,您可以使用GSuite、GMail、Google Group帐户并让他们登录 安慰云谷歌。通用域名格式 . 因此,他们只能看到您在IAM中分配给他们的内容并根据这些内容采取行动。

如果您仍然想自己完成构建,那么每个产品都提供了一个包含身份验证的API。对于您的用例,最佳实践是创建一个服务帐户,然后允许用户调用该服务帐户,而不是为单个用户分配对资源的访问权限。因此,GCP具有 服务帐户参与者角色 描述良好 in the official documentation 此外,Salmaan Rashid还提供 good practical insight on medium .