Cette page a été traduite par l'API Cloud Translation.

Sécuriser les services de backend

En plus d'authentifier les requêtes des utilisateurs finaux envoyées à votre passerelle déployée, il est important de sécuriser l'accès entre API Gateway et vos services de backend. Vous pouvez empêcher l'accès public à vos services gérés de backend (Cloud Run, Cloud Run Functions, App Engine, etc.) en procédant comme suit :

Autorisez uniquement l'accès authentifié à votre service de backend.
Accorder les autorisations nécessaires au compte de service associé à la configuration de l'API de votre passerelle afin que votre passerelle soit autorisée à appeler le backend.

Cette page décrit les étapes nécessaires pour sécuriser votre service de backend, ainsi que les rôles et autorisations dont le compte de service de votre passerelle a besoin pour accéder à ces services.

Cloud Run

Tous les services Cloud Run entièrement gérés sont déployés par défaut en mode privé, ce qui signifie qu'ils ne sont pas accessibles sans identifiants d'authentification dans la requête.

Les services Cloud Run sont sécurisés par IAM. Par défaut, les services Cloud Run peuvent être appelés par n'importe quel rôle contenant l'autorisation run.routes.invoke.

Vous pouvez configurer IAM sur les services Cloud Run (entièrement gérés) pour accorder l'accès à d'autres utilisateurs.

Pour API Gateway, l'accès aux services Cloud Run est activé en accordant les rôles et autorisations appropriés au compte de service de la passerelle : le rôle roles/run.invoker ou un rôle contenant l'autorisation run.routes.invoke.

Vous pouvez contrôler l'accès d'une passerelle à un service individuel avec le rôle IAM au niveau du service ou à tous les services d'un projet avec le rôle IAM au niveau du projet.

Si la requête d'une passerelle adressée à votre service Cloud Run est refusée, assurez-vous que le compte de service de la passerelle dispose du rôle roles/run.invoker et de l'autorisation run.routes.invoke. Pour en savoir plus sur les rôles et autorisations d'invocateur, consultez la documentation de référence IAM pour Cloud Run.

Fonctions Cloud Run

Pour les services de backend Cloud Run Functions, Identity and Access Management (IAM) est utilisé pour contrôler la capacité à afficher, créer, mettre à jour et supprimer des fonctions. IAM applique l'authentification des appelants aux services Cloud Run Functions, tels qu'API Gateway, en accordant des rôles.

L'attribution de rôles et d'autorisations avec IAM vous permet de contrôler deux ensembles d'actions :

Opérations des développeurs : création, mise à jour et suppression de fonctions, ainsi que gestion de l'accès aux fonctions.
Appel de fonction : entraîne l'exécution d'une fonction.

Accorder la possibilité d'appeler une fonction diffère pour les fonctions HTTP et les fonctions d'arrière-plan.

Les fonctions HTTP nécessitent une authentification par défaut. Vous pouvez configurer IAM sur les fonctions HTTP pour spécifier si une fonction autorise les appels non authentifiés.
Les fonctions d'arrière-plan ne peuvent être appelées que par la source de l'événement auquel elles sont abonnées.

Pour permettre à API Gateway d'appeler votre service de backend Cloud Run Functions, accordez le rôle roles/cloudfunctions.invoker au compte de service de la passerelle, ou tout rôle contenant l'autorisation cloudfunctions.functions.invoke.

Vous pouvez contrôler l'accès d'une passerelle à une fonction individuelle avec le rôle IAM au niveau du service ou à toutes les fonctions d'un projet avec le rôle IAM au niveau du projet.

Si les requêtes d'une passerelle vers votre service de fonctions Cloud Run sont refusées, assurez-vous que le compte de service de la passerelle dispose du rôle roles/cloudfunctions.invoker et de l'autorisation cloudfunctions.functions.invoke. Pour en savoir plus sur les rôles et autorisations d'invocateur, consultez la documentation de référence sur Cloud Functions IAM.

App Engine

Pour sécuriser votre application App Engine, vous devez utiliser le proxy Identity-Aware Proxy (IAP) afin d'assurer l'authentification des requêtes.

Suivez la procédure pour activer IAP pour le projet dans lequel votre service de backend App Engine est déployé. L'activation d'IAP permet de sécuriser l'accès à votre application backend App Engine.

Pour permettre à API Gateway d'appeler votre service de backend App Engine, suivez les étapes de la section Configurer l'accès IAP pour accorder le rôle IAP-secured Web App User au compte de service associé à votre passerelle. De plus, attribuez au compte de service un rôle contenant les autorisations suivantes :

appengine.applications.update
clientauthconfig.clients.create
clientauthconfig.clients.getWithSecret

Autres API Google Cloud

API Gateway n'est pas compatible avec le proxy vers d'autres API Google Cloud . Cela signifie que les configurations d'API qui font référence à un ou plusieurs backends avec *.googleapis.com (comme bigquery.googleapis.com) entraîneront l'échec des appels avec un code de réponse 401.

API Gateway s'authentifie auprès des backends avec un jeton d'identité, tandis que d'autres API Google Cloud nécessitent un jeton d'accès. Il n'existe actuellement aucune solution de contournement intégrée.