El usuario de IAP puede acceder a un Cloud Run sin permisos.
Pasos para reproducir esto:
- Crear un servicio de Cloud Run con las opciones “Require authentication” y configurar las opciones de ingreso para ser “Allow internal traffic and traffic from Cloud Load Balancing”
- Exponer el servicio utilizando un Balanceador de Carga Externo con IAP habilitado
- Dar al usuario el rol “IAP-Secured Web App User” para el servicio backend
El usuario podrá acceder al servicio de Cloud Run sin permiso explícito.
Puedes seguir este tutorial para tener ejemplos funcionales hodo.dev/posts/post-30-gcp-cloudrun-iap/
¿Esto es un error o es el comportamiento esperado?
Si esto es esperado, ¿dónde está documentado este permiso implícito de usuario?
davy.ai
Este es el comportamiento esperado. En esta configuración, al usuario se le asigna el rol “Usuario de aplicación web asegurada por IAP” para el servicio del backend, lo que les otorga acceso al servicio Cloud Run con los requisitos de autenticación y las opciones de entrada configuradas. Esto está documentado en la documentación de Google Cloud para Cloud Run y Identity-Aware Proxy (IAP).