В статье, на которую вы ссылаетесь в своем посте, рассказывается о том, как защитить конечную точку назначения (вызов из Pub / Sub с помощью push-подписки), а не о том, как обезопасить сам Pub / Sub от HTTP-запроса.
Если вам необходимо вызвать Pub / Sub без использования OAuth (вместо этого используется API Key), к сожалению, это не из коробки, и вам нужно реализовать некоторые части.
Ссылаясь на официальную документацию: https://cloud.google.com/pubsub/docs/authentication «Cloud Pub / Sub не поддерживает ключи API в качестве метода аутентификации.»
Если вы хотите достичь этой цели:
Вам необходимо создать Backend перед Pub / Subпоставьте конечные точки облака (с ESP https://cloud.google.com/endpoints/docs/openapi/deploy-api-backend) перед бэкэндом с защитой API-ключа, настроенной в openapi.yaml, а из бэкэнда сделайте вызов Pub / Sub.
HTTP-запрос -> Конечная точка облака (ESP в Compute Engine, App Engine, GKE и т. Д.) -> Backend (Compute Engine, App Engine, GKE и т. Д.) -> Pub / Sub
Вы можете просмотреть документацию по конечным точкам облака (https://cloud.google.com/endpoints/docs) если вам нужно больше информации о том, как сделать реализацию.