Protezione dei servizi di backend

Oltre ad autenticare le richieste degli utenti finali al gateway di cui è stato eseguito il deployment, è importante proteggere l'accesso tra API Gateway e i tuoi servizi di backend. Puoi impedire l'accesso pubblico ai tuoi servizi gestiti di backend (Cloud Run, funzioni Cloud Run, App Engine e così via) nel seguente modo:

  • Concedere solo l'accesso autenticato al servizio di backend.
  • Concedi le autorizzazioni necessarie all'account di servizio associato alla configurazione dell'API del gateway in modo che il gateway sia autorizzato a invocare il backend.

In questa pagina vengono descritti i passaggi necessari per proteggere il servizio di backend e i ruoli e le autorizzazioni richiesti dall'account di servizio del gateway per accedere a questi servizi.

Cloud Run

Per impostazione predefinita, tutti i servizi completamente gestiti di Cloud Run vengono dipartiti in privato, il che significa che non è possibile accedervi senza fornire le credenziali di autenticazione nella richiesta.

I servizi Cloud Run sono protetti da IAM. Per impostazione predefinita, i servizi Cloud Run possono essere chiamati da qualsiasi ruolo contenente l'autorizzazione run.routes.invoke.

Puoi configurare IAM su servizi Cloud Run (completamente gestiti) per concedere l'accesso a utenti aggiuntivi.

Per API Gateway, l'accesso ai servizi Cloud Run viene abilitato concedendo all'account di servizio del gateway i ruoli e le autorizzazioni appropriati: il ruolo roles/run.invoker o un ruolo contenente l'autorizzazione run.routes.invoke.

Puoi controllare l'accesso di un gateway a un singolo servizio con IAM a livello di servizio o a tutti i servizi all'interno di un progetto con IAM a livello di progetto.

Se la richiesta di un gateway al tuo servizio Cloud Run viene rifiutata, assicurati che all'account di servizio del gateway sia stato concesso il ruolo roles/run.invoker e che l'account di servizio del gateway disponga dell'autorizzazione run.routes.invoke. Scopri di più sui ruoli e sulle autorizzazioni dell'invoker, consulta la documentazione di riferimento IAM di Cloud Run.

Cloud Functions

Per i servizi di backend delle funzioni Cloud Run, Identity and Access Management (IAM) viene utilizzato per controllare la possibilità di visualizzare, creare, aggiornare ed eliminare le funzioni. IAM applica l'autenticazione dei chiamanti ai servizi Cloud Run Functions, come API Gateway, concedendo i ruoli.

La concessione di ruoli e autorizzazioni con IAM consente di controllare due insiemi di azioni:

  • Operazioni dello sviluppatore: creazione, aggiornamento ed eliminazione di funzioni, nonché gestione dell'accesso alle funzioni.
  • Chiamata di funzione:causa dell'esecuzione di una funzione.

La concessione della possibilità di richiamare una funzione è diversa per le funzioni HTTP e le funzioni in background.

Per consentire ad API Gateway di chiamare il tuo servizio di backend Cloud Functions, concedi all'account di servizio del gateway il ruolo roles/cloudfunctions.invoker) o qualsiasi ruolo contenente l'autorizzazione cloudfunctions.functions.invoke.

Puoi controllare l'accesso di un gateway a una singola funzione con IAM a livello di servizio o a tutte le funzioni di un progetto con IAM a livello di progetto.

Se le richieste di un gateway al servizio di funzioni Cloud Run vengono rifiutate, assicurati che al account di servizio del gateway sia stato concesso il ruolo roles/cloudfunctions.invoker e che l'account di servizio del gateway disponga dell'autorizzazione cloudfunctions.functions.invoke. Scopri di più sui ruoli e sulle autorizzazioni dell'invoker nella documentazione di riferimento IAM di Cloud Functions.

App Engine

Per proteggere la tua app App Engine, devi utilizzare Identity-Aware Proxy (IAP) per assicurarti che le richieste vengano autenticate.

Segui i passaggi per abilitare IAP per il progetto in cui è stato eseguito il deployment del servizio di backend App Engine. L'abilitazione di IAP garantisce che l'accesso all'applicazione di backend di App Engine sia protetto.

Per consentire ad API Gateway di chiamare il servizio di backend App Engine, segui i passaggi descritti in Configurazione dell'accesso IAP per concedere all'account di servizio associato al tuo gateway il ruolo IAP-secured Web App User. Inoltre, concedi all'account di servizio un ruolo contenente le seguenti autorizzazioni:

  • appengine.applications.update
  • clientauthconfig.clients.create
  • clientauthconfig.clients.getWithSecret