У меня есть сервисы, работающие в облачных функциях Google, которым необходимо подключиться к конечной точке на AWS. Поскольку не существует фиксированного набора IP-адресов, которые я могу внести в белый список, не могли бы вы поделиться своими мыслями о том, как лучше всего с этим справиться? Я понимаю, что IP-адреса могут быть перечислены, как объяснено Вот, но, пожалуйста, поделитесь мыслями о динамической работе с этим / отслеживайте изменение IP.
Amazon предоставляет тему sns, на которую можно подписаться, в которой перечислены все IP-адреса AWS, и у нас есть варианты использования, когда мы использовали лямбда-функцию, подписанную на их тему sns, чтобы поддерживать нашу группу безопасности в актуальном состоянии. но пытаюсь понять, как лучше всего справиться с Google в подобных случаях.
Существует три распространенных метода защиты входящего трафика:
Для Google Cloud Functions нельзя надежно использовать первый метод. Google еще не публикует сетевые блоки IP Cloud Function. Довольно легко выяснить, из каких сетевых блоков поступают облачные функции, но это включает в себя множество других облачных сервисов Google.
Облачные функции Google поддерживают --service-account
вариант развертывания, который использует учетную запись службы для предоставления токена идентификации OAuth в HTTP-заголовке «authorization: bearer». Это обычный метод проверки личности в мире GCP (OAuth).
Третий метод (секретный ключ) - это все, что вы хотите. Вы можете создать собственный заголовок, пользовательскую полезную нагрузку и т. Д. И включить свой секретный ключ.
Конечная точка или шлюз перед конечной точкой, которую вызывает Google Cloud Functions, потребуется для проверки метода, который вы используете.