什麼是 IAP？

IAP 的全名是 Identity-Aware Proxy，目的是去管理 誰 能夠用 Http 去 call 到 Google Cloud 中 運行的 service，也就是 to restrict access to the application

所以 IAP 想要管理的，是那些會使用 "網站" 或是 "Postman"，直接發起請求去 call api 的人，因此 IAP 管的，通常是 "公司裡想要使用內部系統的人"

IAP 的使用流程

• 先創建一個 IAP 的限制，然後綁到某個 compute service 上 (也可以選擇綁到 service 中的某個 instance 就好，彈性很大)
  • 綁完之後記得 turn on，他有一個開關，不是綁了就生效
• 為某個 user 添加 IAP-Secured Web App User role
• 當那個 user 要訪問 service 的網址時，IAP 就會去檢查他目前登入的 Google 帳號是否正確
  • 如果正確，就允許他去存取該 service
  • 如果錯誤，就會顯示下面這個錯誤
    

IAP 的特性

IAP 除了可以擋住那些沒有正確 Google 帳號的人之外，他還可以把登入的人的 Google 帳號的資訊，往後傳給 service

像是上面那個例子，假設 user 正確登入了，那麼 IAP 就會在 request header 裡面多帶上兩個值，分別是 X-Goog-Authenticated-User-Email (user 的 Google 帳號) 和 X-Goog-Authenticated-User-ID (user 的 Google ID)，讓後面的 service 知道現在到底是誰在登入