備忘録程度のポイントまとめ記事です。
#IAP
https://cloud.google.com/iap?hl=ja
「ID とコンテキストを使用して、アプリケーションや VM へのアクセスを保護。」
とあるように、VMへのアクセス制限については、IAPで制限する。
コンテキストでcloud identityと連携して制御が可能になる。
なので、GWSやcloud identityが必要になる。
【ちょっとした疑問】
外部ドメインを制限したい場合は、どうしたらいいのか?という疑問がでてくる。。。
↓
これは、GCPではできないと思う。
シチュエーションにもよるが、「どのIDを使いたいのか?」とかあると思うし、Azure ADとかと連携ししたいなら、そういう構成もできなくはないと思う。(やったことないけど)
これに加えて言うなら、IAMだってGWSやcloud identity必要だし、つまるところ、この記事で書いたような制限をやりたいならGoogleアカウントは必要だよってところに落ち着くと思う。
以下の記事も参考になったので記載させていただきました。
https://cloud-textbook.com/37/
#IAM
https://cloud.google.com/iam?hl=ja
IAMはコンソールでサーバを構築するときとかの権限を制御する。
Webアプリへのアクセスとかにはあまり関係ない。
といいつつ、IAPの権限は結構幅広く付与できるので表現が難しい。
https://cloud.google.com/iam/docs/understanding-roles?hl=ja#cloud-iap-roles
けど、IAPの機能だから、IAMで制御ってよりは、IAPで制御している感じ。