我正在学习 GCP 中的 IAP,它用于对 GCP 托管应用程序的身份验证和授权。
思潮
甚至在 GCP 中引入 IAP 之前,用户就可以使用登录凭证和谷歌 IAM 策略进行身份验证和授权。
好的,IAP取代了VPN,用户可以在不受信任的网络工作。
查询
如果我想错了,请纠正我。
但是,如果我的应用程序/资源托管在 GCP 中,那么通过适当的身份验证和授权可以公开访问它,显然不需要 VPN。在这种情况下,IAP的意义是什么。
IAP中的新事物是什么,因为IAP也对身份验证和授权执行相同的操作?
如果您已经有一个通过适当的身份验证和授权进行保护的应用程序,那么从技术上讲,您将不需要IAP,尽管它仍然是可取的。其中一个原因是,IAP 使您能够在应用程序外部配置个人访问权限,而无需在应用程序代码中内部控制 ACL。App Engine IAP 快速入门很好地概述了 IAP 配置如何保护应用。
您可以将IAP视为填补VPN的角色,同时还为您提供OAuth的灵活性。它主要针对外围安全,传统上通过使用防火墙和VPN来保护特权网络资源(如托管在本地的Intranet)来实现的。IAP 允许您以与在本地大致相同的方式设置云托管的 Intranet,访问控制由 IAP 在外围处理。这在谷歌研究论文"BeyondCorp - 企业安全的新方法"中得到了很好的解释。