Получение политики IAM для ресурса App Engine

Question

У меня есть проект GCP с ресурсом приложения App Engine. Я использую Identity-Aware Proxy для установки пользователей и ролей в приложении App Engine на консоли. Теперь я хочу управлять пользователями в IAP программно.

В настоящее время я могу получить политику IAM для «всех веб-служб», включенных в проект, используя:

const request = { 
   resource_: <project-id>,
   resource: {},
   auth: authClient
};

try {
  const response(await cloudresourcemanager.projects.getIamPolicy(request)).data
} ...

Как получить указанную политику c для Ресурс приложения App Engine?

Я предпочитаю указывать политику непосредственно на ресурсе приложения, а не на «Все веб-службы».

Подробнее см. На снимке экрана GCP IAP: Политика для приложения App Engine в GCP IAP

Answer 1

Первым шагом является чтение существующей политики IAP IAM для ресурса (App Engine). Замените слова заглавными буквами на правильные значения для вашего проекта и службы App Engine:

POST https://iap.googleapis.com/v1beta1/projects/PROJECT_NUMBER/iap_web/appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:getIamPolicy

Измените политику для добавления / удаления / изменения ролей для идентификаторов членов IAM и отправьте POST обратно новую политику IAM в качестве тела запроса:

POST https://iap.googleapis.com/v1beta1/projects/PROJECT_NUMBER/iap_web/appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:setIamPolicy

Эти ссылки покажут вам, как использовать API REST.

Начните здесь, чтобы узнать, как составить список служб App Engine:

Службы App Engine

Эта ссылка представляет собой обзор управления доступом к IAP:

Управление доступом через Identity Aware Proxy (IAP)

API-интерфейсы REST IAP для управления разрешениями IAM:

getIamPolicy

setIamPolicy