Sécuriser le trafic vers un service avec la console Google Cloud
Cette page explique comment déployer une API sur API Gateway pour sécuriser le trafic vers un service de backend.
Suivez les étapes ci-dessous pour déployer une nouvelle API permettant d'accéder à un service de backend sur Cloud Functions à l'aide de la console Google Cloud. Ce guide de démarrage rapide explique également comment utiliser une clé API pour protéger votre backend contre les accès non autorisés.
Avant de commencer
Dans la console Google Cloud, accédez à la page API Gateway, puis sélectionnez ou créez un projet Google Cloud.
API Gateway nécessite l'activation des services Google suivants :
Nom Titre apigateway.googleapis.com
API de la passerelle API servicemanagement.googleapis.com
API Service Management servicecontrol.googleapis.com
API Service Control Si vous n'avez pas encore activé ces services pour le projet que vous sélectionnez, vous serez invité à le faire.
Vérifiez que la facturation est activée sur votre projet.
Déployer un backend d'API
API Gateway se trouve devant un service de backend déployé et gère toutes les requêtes entrantes. Dans ce guide de démarrage rapide, API Gateway achemine les appels entrants vers un backend de fonction Cloud nommé helloGET
qui contient la fonction présentée ci-dessous:
/** * HTTP Cloud Function. * This function is exported by index.js, and is executed when * you make an HTTP request to the deployed function's endpoint. * * @param {Object} req Cloud Function request context. * More info: https://expressjs.com/en/api.html#req * @param {Object} res Cloud Function response context. * More info: https://expressjs.com/en/api.html#res */ exports.helloGET = (req, res) => { res.send('Hello World!'); };
Suivez les étapes de la section Démarrage rapide: utiliser la Google Cloud CLI pour télécharger l'exemple de code Cloud Functions et déployer le service de backend Cloud Functions.
Créer une définition d'API
API Gateway utilise une définition d'API pour acheminer les appels vers le service de backend. Vous pouvez utiliser une spécification OpenAPI qui contient des annotations spécialisées pour définir le comportement souhaité d'API Gateway. La spécification OpenAPI de ce guide de démarrage rapide contient des instructions de routage vers le backend de la fonction Cloud:
# openapi2-functions.yaml swagger: '2.0' info: title: API_ID optional-string description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: https://us-central1-PROJECT_ID.cloudfunctions.net/helloGET responses: '200': description: A successful response schema: type: string
Pour définir votre API à l'aide de la spécification OpenAPI présentée ci-dessus, procédez comme suit :
À partir de la ligne de commande, créez un fichier nommé
openapi2-functions.yaml
.Copiez et collez le contenu de la spécification OpenAPI ci-dessus dans le fichier qui vient d'être créé.
Modifiez le fichier comme suit :
- Dans le champ
title
, remplacez API_ID par le nom de votre API (qui sera créé à l'étape suivante) et optional-string par une brève description de votre choix. La valeur de ce champ est utilisée lors de la saisie des clés API qui accordent l'accès à cette API. Reportez-vous aux exigences pour les identifiants d'API pour connaître les consignes de dénomination des ID d'API. - Dans le champ
address
, remplacez PROJECT_ID par le nom de votre projet Google Cloud.
- Dans le champ
Créer une passerelle
Vous êtes maintenant prêt à créer et à déployer une passerelle sur API Gateway.
Ouvrez la page API Gateway dans la console Google Cloud.
Cliquez sur Créer une passerelle.
Dans la section API :
- Vous pouvez choisir de créer une API ou sélectionner une API existante dans le menu déroulant Sélectionner une API. Pour ce tutoriel, sélectionnez Créer une API.
- Saisissez le nom à afficher de votre API.
- Saisissez l'ID d'API pour votre API.
- (Facultatif) Ajoutez des étiquettes à votre API en utilisant un format clé/valeur. Pour ajouter plusieurs libellés, cliquez sur Add Label (Ajouter une étiquette) et saisissez des valeurs supplémentaires.
Dans la section API Config (Configuration de l'API) :
- Vous pouvez choisir de créer une configuration d'API ou de sélectionner une configuration d'API existante dans le menu déroulant Select a Config (Sélectionner une configuration). Pour ce tutoriel, sélectionnez Créer une configuration d'API.
- Utilisez l'explorateur de fichiers pour importer le
openapi2-functions.yaml
utilisé pour définir votre API. - Saisissez un nom à afficher pour votre configuration d'API.
Sélectionnez un compte de service dans la liste déroulante. Le compte de service que vous sélectionnez sera utilisé comme identité pour API Gateway.
(Facultatif) Ajoutez des étiquettes à la configuration de votre API à l'aide d'un format clé/valeur. Pour ajouter plusieurs libellés, cliquez sur Add Label (Ajouter une étiquette) et saisissez des valeurs supplémentaires.
Dans la section Gateway details (Détails de la passerelle) :
- Saisissez le nom à afficher de la passerelle. L'URL de la passerelle est générée automatiquement.
- Sélectionnez l'emplacement de la passerelle dans le menu déroulant.
- (Facultatif) Ajoutez des étiquettes à votre passerelle à l'aide d'un format clé/valeur. Pour ajouter plusieurs libellés, cliquez sur Add Label (Ajouter une étiquette) et saisissez des valeurs supplémentaires.
Cliquez sur Créer une passerelle.
Cette opération déploie la configuration d'API sur une passerelle nouvellement créée. Le déploiement d'une configuration d'API sur une passerelle définit une URL externe que les clients API peuvent utiliser pour accéder à votre API.
L'opération peut prendre plusieurs minutes. Pour vérifier l'état du processus de création et de déploiement, vous pouvez cliquer sur l'icône Notification dans la barre de navigation principale afin d'afficher une notification d'état, comme illustré ci-dessous:
Si l'opération réussit, vous pouvez afficher les détails de la passerelle sur la page de destination Passerelles.
Accéder à la page "Passerelles"
Notez l'URL de la passerelle. Il sera utilisé pour tester votre déploiement à l'étape suivante.
Tester votre déploiement d'API
Vous pouvez désormais envoyer des requêtes à votre API à l'aide de l'URL générée lors du déploiement de votre passerelle.
Dans votre navigateur Web, saisissez l'URL suivante, où :
- GATEWAY_URL spécifie l'URL de la passerelle déployée.
hello
est le chemin d'accès spécifié dans la configuration de votre API.
https://GATEWAY_URL/hello
Exemple :
https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello
Le message Hello World!
devrait s'afficher dans votre navigateur.
Vous avez réussi à créer et à déployer une passerelle API.
Sécuriser l'accès à l'aide d'une clé API
Pour sécuriser l'accès au backend de votre API, vous pouvez générer une clé API associée à votre projet et autoriser cette clé à appeler votre API. Pour en savoir plus, consultez Restreindre l'accès à une API à l'aide de clés API.
Si aucune clé API n'est associée au projet Google Cloud que vous utilisez dans ce guide de démarrage rapide, vous pouvez en ajouter une en suivant la procédure décrite dans Créer une clé API.
Pour sécuriser l'accès à votre passerelle à l'aide d'une clé API :
- Activez la compatibilité des clés API pour votre service :
- Dans la console Google Cloud, accédez à API et services > Bibliothèque.
- Dans la barre de recherche, saisissez le nom du service géré de l'API que vous venez de créer. Vous trouverez cette valeur dans la colonne Service géré de votre API sur la page de destination des API.
Exemple :
my-api-123abc456def1.apigateway.my-project.cloud.goog
- Sur la page de destination de votre service, cliquez sur Activer.
- Modifiez la spécification OpenAPI utilisée pour créer votre configuration d'API afin d'inclure des instructions permettant d'appliquer une stratégie de sécurité pour la validation des clés API à tout le trafic. Ajoutez le type
security
etsecurityDefinitions
comme indiqué ci-dessous :# openapi2-functions.yaml swagger: '2.0' info: title: API_ID optional-string description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address:https://us-central1.PROJECT_ID.cloudfunctions.net/helloGET security: - api_key: [] responses: '200': description: A successful response schema: type: string securityDefinitions: # This section configures basic authentication with an API key. api_key: type: "apiKey" name: "key" in: "query"
securityDefinition
configure votre API pour exiger une clé API transmise en tant que paramètre de requête nommékey
lors de la demande d'accès à tous les chemins définis dans la spécification. - Créez et déployez une configuration d'API sur votre passerelle existante :
- Accédez à la page de destination des passerelles.
- Sélectionnez votre passerelle dans la liste pour afficher les détails.
- Cliquez sur Modifier pour ouvrir le volet de configuration de la passerelle.
- Dans la section Configuration de l'API :
- Sélectionnez Créer une configuration d'API dans la liste déroulante disponible.
- Importez la spécification OpenAPI modifiée à l'aide de l'explorateur de fichiers.
- Saisissez le nom à afficher pour votre nouvelle configuration d'API.
- Sélectionnez un compte de service dans la liste déroulante. Le compte de service que vous sélectionnez sera utilisé comme identité pour API Gateway.
- (Facultatif) Ajoutez des étiquettes à la configuration de votre API à l'aide d'un format clé/valeur. Pour ajouter plusieurs libellés, cliquez sur Ajouter un libellé, puis saisissez des valeurs supplémentaires.
- Cliquez sur Update (Mettre à jour).
Tester votre clé API
Une fois que vous avez créé et déployé l'API modifiée, envoyez-lui une requête.
Dans votre navigateur Web, saisissez l'URL suivante, où :
- GATEWAY_URL spécifie l'URL de la passerelle déployée.
hello
est le chemin d'accès spécifié dans la configuration de votre API.
https://GATEWAY_URL/hello
Exemple :
https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello
L'erreur suivante devrait se produire :
UNAUTHENTICATED:Method doesn't allow unregistered callers (callers without established identity). Please use API Key or other form of API consumer identity to call this API.
Dans votre navigateur, saisissez l'URL suivante, où :
- GATEWAY_URL spécifie l'URL de la passerelle déployée.
hello
est le chemin d'accès spécifié dans la configuration de votre API.- API_KEY spécifie la clé API que vous avez créée dans Sécuriser l'accès à l'aide d'une clé API.
https://GATEWAY_URL/hello?key=API_KEY
Hello World!
devrait maintenant s'afficher dans votre navigateur.
Félicitations ! Vous avez réussi à protéger le backend de votre API à l'aide d'une passerelle API. Vous pouvez maintenant commencer à intégrer de nouveaux clients API en générant d'autres clés API.
Suivre l'activité de l'API
Affichez les graphiques d'activité de votre API sur la page API Gateway de la console Google Cloud. Cliquez sur votre API pour afficher ses graphiques d'activité sur la page Présentation. Il peut s'écouler quelques instants avant que les requêtes ne soient reflétées dans les graphiques.
Consultez les journaux de requêtes de votre API sur la page de l'explorateur de journaux. Vous trouverez un lien vers la page Explorateur de journaux sur la page API Gateway de la console Google Cloud.
Une fois sur la page API Gateway :- Sélectionnez l'API à afficher.
- Cliquez sur l'onglet Détails.
- Cliquez sur le lien sous Journaux.
Effectuer un nettoyage
Pour éviter que les ressources utilisées dans ce guide de démarrage rapide soient facturées sur votre compte Google Cloud, vous pouvez:
Vous pouvez également supprimer le projet Google Cloud utilisé pour ce tutoriel.
Étapes suivantes
- En savoir plus sur API Gateway
- Suivez la procédure Configurer votre environnement de développement.