Cette page a été traduite par l'API Cloud Translation.

Sécuriser les services de backend

En plus d'authentifier les requêtes des utilisateurs finaux auprès de votre passerelle déployée, il est important de sécuriser l'accès entre API Gateway et vos services backend. Vous pouvez empêcher l'accès public à vos services gérés backend (Cloud Run, Cloud Run Functions, App Engine, etc.) en procédant comme suit:

Autorisez uniquement l'accès authentifié à votre service de backend.
Accordez les autorisations nécessaires au compte de service associé à la configuration de l'API de votre passerelle afin qu'elle soit autorisée à appeler le backend.

Cette page décrit les étapes à suivre pour sécuriser votre service de backend, ainsi que les rôles et les autorisations dont le compte de service de votre passerelle a besoin pour y accéder.

Cloud Run

Tous les services Cloud Run entièrement gérés sont déployés par défaut en mode privé, ce qui signifie qu'ils ne sont pas accessibles sans identifiants d'authentification dans la requête.

Les services Cloud Run sont sécurisés par IAM. Par défaut, les services Cloud Run peuvent être appelés par n'importe quel rôle contenant l'autorisation run.routes.invoke.

Vous pouvez configurer IAM sur les services Cloud Run (entièrement gérés) pour accorder l'accès à d'autres utilisateurs.

Pour API Gateway, l'accès aux services Cloud Run est activé en accordant les rôles et autorisations appropriés au compte de service de la passerelle : le rôle roles/run.invoker ou un rôle contenant l'autorisation run.routes.invoke.

Vous pouvez contrôler l'accès d'une passerelle à un service individuel avec le rôle IAM au niveau du service ou à tous les services d'un projet avec le rôle IAM au niveau du projet.

Si la requête d'une passerelle à votre service Cloud Run est refusée, assurez-vous que le compte de service de la passerelle dispose du rôle roles/run.invoker et qu'il dispose de l'autorisation run.routes.invoke. Pour en savoir plus sur les rôles et les autorisations de l'appelant, consultez la documentation de référence IAM Cloud Run.

Cloud Functions

Pour les services backend des fonctions Cloud Run, Identity and Access Management (IAM) permet de contrôler la possibilité d'afficher, de créer, de mettre à jour et de supprimer des fonctions. IAM applique l'authentification des appelants des services de fonctions Cloud Run, tels qu'API Gateway, en leur accordant des rôles.

L'attribution de rôles et d'autorisations avec IAM vous permet de contrôler deux ensembles d'actions :

Opérations des développeurs : création, mise à jour et suppression de fonctions, ainsi que gestion de l'accès aux fonctions.
Appel de fonction : entraîne l'exécution d'une fonction.

Accorder la possibilité d'appeler une fonction diffère pour les fonctions HTTP et les fonctions d'arrière-plan.

Les fonctions HTTP nécessitent une authentification par défaut. Vous pouvez configurer IAM sur les fonctions HTTP pour spécifier si une fonction autorise les appels non authentifiés.
Les fonctions d'arrière-plan ne peuvent être appelées que par la source de l'événement auquel elles sont abonnées.

Pour autoriser API Gateway à appeler votre service de backend Cloud Functions, accordez au compte de service de la passerelle le rôle roles/cloudfunctions.invoker ou tout rôle contenant l'autorisation cloudfunctions.functions.invoke.

Vous pouvez contrôler l'accès d'une passerelle à une fonction individuelle avec le rôle IAM au niveau du service ou à toutes les fonctions d'un projet avec le rôle IAM au niveau du projet.

Si les requêtes d'une passerelle vers votre service de fonctions Cloud Run sont refusées, assurez-vous que le compte de service de la passerelle dispose du rôle roles/cloudfunctions.invoker et qu'il dispose de l'autorisation cloudfunctions.functions.invoke. Pour en savoir plus sur les rôles et les autorisations de l'appelant, consultez la documentation de référence sur Cloud Functions IAM.

App Engine

Pour sécuriser votre application App Engine, vous devez utiliser le proxy Identity-Aware Proxy (IAP) afin d'assurer l'authentification des requêtes.

Suivez la procédure pour activer les achats intégrés pour le projet dans lequel votre service de backend App Engine est déployé. Activer IAP permet de sécuriser l'accès à votre application backend App Engine.

Pour autoriser API Gateway à appeler votre service de backend App Engine, suivez la procédure décrite dans la section Configurer l'accès à l'IAP pour accorder au compte de service associé à votre passerelle le rôle IAP-secured Web App User. Attribuez également au compte de service un rôle contenant les autorisations suivantes:

appengine.applications.update
clientauthconfig.clients.create
clientauthconfig.clients.getWithSecret