У меня есть несколько сервисов, работающих на функциях Google Cloud, которым нужно подключаться к конечной точке на AWS. Поскольку нет фиксированного набора IP-адресов, которые я могу внести в белый список, можете ли вы поделиться своими мыслями о том, как лучше всего с этим справиться? Я понимаю, что IP-адреса можно перечислить, как описаноздесь, но, пожалуйста, поделитесь мыслями о том, как динамически справляться с этим/отслеживать смену IP.
Amazon предоставляет тему SNS, на которую можно подписаться, в которой перечислены все IP-адреса AWS, и у нас есть примеры использования, когда мы использовали лямбда-функцию, подписываясь на их тему SNS, чтобы поддерживать нашу группу безопасности в актуальном состоянии. Но пытаемся понять, как лучше всего работать с Google для решения аналогичной проблемы.
решение1
Существует три распространенных метода защиты входящего трафика:
- Где - IP-адрес трафика.
- Кто — идентификация трафика (токен идентификации OAuth и т. д.)
- Что — Секрет (секретный ключ, ключ API и т. д.), которым обладает трафик.
Для Google Cloud Functions вы не можете надежно использовать первый метод. Google пока не публикует сетевые блоки IP Cloud Function. Довольно легко выяснить, из каких сетевых блоков поступают Cloud Functions, но это касается и многих других сервисов Google Cloud.
Google Cloud Functions поддерживает --service-accountвариант развертывания, который использует учетную запись службы для предоставления токена идентификации OAuth в заголовке HTTP "authorization: bearer". Это обычный метод проверки личности в мире GCP (OAuth).
Третий метод (секретный ключ) — это все, что вы хотите. Вы можете создать собственный заголовок, собственную полезную нагрузку тела и т. д. и включить свой секретный ключ.
Конечная точка или шлюз перед конечной точкой, к которой обращаются функции Google Cloud, должны будут проверить используемый вами метод.