So rufen Sie einen durch einen Identity Aware Proxy geschützten Dienst auf

Wenn Sie einen Webservice hinter einem Identity Aware Proxy (IAP) haben, ist es ziemlich schwierig, über curl auf der Kommandozeile darauf zuzugreifen. In diesem kleinen Blog zeige ich Ihnen, wie Sie das machen können. Um mit curl auf einen Webdienst hinter einem Identity Aware Proxy zuzugreifen, verwenden Sie den folgenden Befehl:

OAUTH_CLIENT_ID=1234567890-j9onig1ofcgle7iogv8fceu04v8hriuv.apps.googleusercontent.com
AUTHORIZED_SA=iap-accessor@my-project.iam.gserviceaccount.com
URL=https://your-iap-protected-endpoint

ID_TOKEN=$(
   gcloud auth print-identity-token 
   --audiences  $OAUTH_CLIENT_ID 
   --include-email 
   --impersonate-service-account $AUTHORIZED_SA
)
curl --header "Proxy-Authorization: Bearer $ID_TOKEN"  $URL

Das ist alles, was Sie wissen müssen.

Es ist klar, dass Sie die Rolle service account token creator für das Dienstkonto benötigen. Diesem Dienstkonto wiederum wird die Rolle des https-Ressourcenzugriffs auf den Backend-Dienst zugewiesen.

Fazit

Durch die Impersonation eines Dienstkontos können Sie ein Id-Token erstellen, um auf einen durch Identity Aware Proxy geschützten Dienst zuzugreifen. Es wäre schön, wenn Benutzer das erforderliche Id-Token direkt erzeugen könnten, aber das geht nicht.