O Google Cloud Platform introduziu o Identity Aware Proxy para proteger instâncias do ambiente flexível do Google App Engine do acesso público.

No entanto, não está totalmente claro se isso pode ou deve ser usado no Google Cloud Functions que está acessando os pontos de extremidade da API hospedada no GAE.

odocumentação (com exemplos de Python e Java) indica um fluxo de trabalho de autenticação IAP que consiste em 1) gerar um token JWT, 2) criar um token OpenID, 3) em seguida, enviar solicitações ao Google App Engine com umAuthorization: Bearer TOKEN cabeçalho.

Isso parece bastante complicado para a execução de funções na nuvem se a autorização precisar ocorrer toda vez que uma função é chamada.

Existe outra maneira de as funções da nuvem do Google acessarem os pontos de extremidade do GAE seguros?