限制特定网域可以访问资源

控制台

1. 前往 IAP 页面。
   转到 Identity-Aware Proxy。
2. 选择项目，然后选择要启用“允许的网域”功能的资源。
3. 打开资源的设置。在允许的域名下方，选择启用允许的域名。
4. 指定允许的网域列表，然后点击保存。

gcloud

以下是一些用于指定允许的网域的示例命令。

如需了解详情，请参阅 gcloud iap settings set。

运行以下命令：

gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

其中 SETTING_FILE 为：

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

替换以下内容：

• FOLDER：文件夹 ID。
• ORGANIZATION：组织 ID。
• PROJECT：项目 ID。
• RESOURCE_TYPE：IAP 资源类型。必须是 app-engine、iap_web、compute、organization 或 folder。
• SERVICE：服务名称。当 resource-type 为 compute 或 app-engine 时，此属性是可选的。
• VERSION：版本名称。此字段不适用于 compute，当 resource-type 为 app-engine 时，此为可选项。

API

如需配置允许的网域，请完成以下步骤。如需详细了解如何使用 API 配置允许的网域，请参阅 IapSettings。

1. 运行以下命令以准备 iap_settings.json 文件。根据需要更新值。

 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }

1. 通过运行 gcloud iap settings get 命令获取资源名称。从输出中复制名称字段。在下一步中，您将需要用到该名称。

gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]

1. 将以下命令中的 RESOURCE_NAME 替换为上一步中的名称。系统将会更新 IapSettings。

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"