Cross project push pub sub и правила брандмауэра

Question

У меня есть проект, назовите его Project A. Я создал подписку на тему Pub/Sub, принадлежащую Project B. Эта подписка настроена для доставки push-уведомлений на мою конечную точку. Я хотел бы создать некоторые правила брандмауэра, чтобы ограничить доступ к экземплярам, ​​обрабатывающим уведомления в паб/суб, чтобы только Google мог получить доступ к экземплярам при доставке уведомлений. Мне не нужен другой входящий трафик для хостов. Как я могу это сделать?

Answer 1

Я не думаю, что это возможно. От https://cloud.google.com/pubsub/docs/subscriber#pubsub-pull-messages-csharp

В настоящее время поддерживается только конечная точка является сервером HTTPS, который может принимать Webhook доставку. Обратите внимание, что URL-адрес HTTPS для Webhook должен быть быть доступен из общедоступного интернет. Конечная точка приема может быть , отделенной от подписки Pub/Sub; поэтому сообщения из нескольких подписей могут быть отправлены на одну конечную точку.

Чтобы ответить на больший вопрос, который может иметь отношение к вам:

Как предотвратить атакующим размещения фиктивных сообщений моей конечной точки?

Ответ на этот вопрос заключается в том, чтобы разделить секрет между Проектом A и Проектом B и включить в этот атрибут артефакт этого секрета. Подпишите сообщение с помощью закрытого ключа и включите подпись в атрибутах. Затем конечная точка получает сообщение и проверяет подпись против открытого ключа.