私はプロジェクトを持っています、それをProject Aと呼んでください。 Project Bが所有するPub/Subトピックの購読を作成しました。このサブスクリプションは、プッシュ通知をエンドポイントに配信するように設定されています。 pub/sub通知を処理するインスタンスへのアクセスを制限するファイアウォールルールを作成して、通知を配信するときにGoogleだけがインスタンスにアクセスできるようにしたいと考えています。私はホストへの他のインバウンドトラフィックを望んでいません。これどうやってするの?クロスプロジェクトのプッシュパブのサブとファイアウォールのルール
私はそうは考えていません。 https://cloud.google.com/pubsub/docs/subscriber#pubsub-pull-messages-csharp
で現在サポートされる唯一のエンドポイントは ウェブフックの配信を受け入れることができHTTPSサーバです。 Webhook のHTTPS URLは、 の公開Webからアクセス可能である必要があります。受信側のエンドポイントは、Pub/Subサブスクリプションから切り離された である可能性があります。複数の サブスクリプションからのメッセージが単一のエンドポイントに送信される可能性があります。私は自分のエンドポイントに偽のメッセージを投稿から攻撃を防ぐにはどうすればよい
:
はあなたに関連する可能性がある大きな疑問に答えるために?
この質問に対する答えは、プロジェクトAとプロジェクトBの間で秘密を共有し、その秘密のメッセージ属性にアーティファクトを含めることです。メッセージを秘密鍵で署名し、署名に属性を含めます。次に、エンドポイントはメッセージを受信し、その署名を公開鍵と照合して検証します。
プロジェクトBは公開/秘密鍵のペアを作成し、その公開鍵のみを共有します。その後、鍵を安全に保つ必要はありません。 –