我有一些在Google雲端功能上運行的服務需要連接到AWS上的端點。由於沒有可以列入白名單的固定 IP 集,您能否分享您對如何最好地處理此問題的想法?我了解 ip 可以按說明列出這裡,但請分享關於動態處理此問題/監控 ip 變化的想法。
Amazon 提供了可以訂閱的 sns 主題,其中列出了所有 AWS IP,我們有使用 lambda 函數訂閱其 sns 主題的用例,以使我們的安全群組保持最新狀態。但試圖找出處理谷歌類似需求的最佳方法是什麼。
答案1
保護傳入流量的常用方法有以下三種:
- 其中 - 流量的 IP 位址。
- 誰 - 流量的身份(OAuth 身份令牌等)
- 內容 - 流量擁有的秘密(秘密金鑰、API 金鑰等)。
對於 Google Cloud Functions,您無法可靠地使用第一種方法。 Google 尚未發布 Cloud Function IP netblocks。要弄清楚 Cloud Functions 來自哪些網路區塊相當容易,但這包括許多其他 Google Cloud 服務。
Google Cloud Functions 支援--service-account使用服務帳戶在 HTTP「authorization: bearer」標頭中提供 OAuth 身分識別令牌的部署選項。這是 GCP 世界中驗證身分的常規方法 (OAuth)。
第三種方法(密鑰)是您想要的任何方法。您可以建立自訂標頭、自訂正文有效負載等,並包含您的金鑰。
Google Cloud Functions 呼叫的端點或端點前面的閘道需要驗證您正在使用的方法。