このページは Cloud Translation API によって翻訳されました。

VM に対して証明書ベースのアクセスを有効にする

このページでは、Google Cloud VM の証明書ベースのアクセス（CBA）を有効にする方法について説明します。CBA を使用すると、信頼できるデバイスから Google Cloud VM へのアクセスが保護されます。

概要

VM の CBA は、Google Cloud のコンテキストアウェアアクセス機能を使用して、相互 TLS（mTLS）でアクセスを保護します。VM で CBA を有効にして使用するために連携する主要コンポーネントは次のとおりです。

Access Context Manager: ユーザーがウェブアプリケーションにアクセスしようとしたときに証明書を要求するアクセスレベルを作成できます。
Identity-Aware Proxy（IAP）: IAP TCP 転送を使用すると、暗号化されたトンネルを確立し、SSH、RDP、その他のトラフィックを VM インスタンスに転送できます。また、IAP ポリシーでは、特定の VM インスタンスへのトンネルの確立を許可するユーザーと、そのようなトンネルを使用する際にユーザーが満たす必要があるアクセス条件をきめ細かく制御できます。
Chrome Enterprise ポリシー: Chrome ブラウザを使用するときに、ユーザーと VM の間で相互認証（mTLS）を行います。
Google Cloud CLI: gcloud CLI を使用するときに、ユーザーと VM 間の相互認証（mTLS）を提供します。

始める前に

Google Cloud プロジェクト用の CBA アクセスレベルを作成したことを確認します。

IAP TCP 転送を介して VM にアクセスするためのロールを付与する

プロジェクトに対して適切な Identity and Access Management（IAM）ロールを付与し、ユーザーまたはユーザーグループが IAP TCP 転送を使用して VM にアクセスできるようにする必要があります

次の表は、TCP 転送と関連タスクのために信頼できる管理者に付与する必要がある事前定義ロールを示しています。

タスク	ロール	詳細
TCP 転送	IAP で保護されたトンネルユーザー（`roles/iap.tunnelResourceAccessor`）	プロジェクト内のすべての VM インスタンスへのアクセスを許可するまたは特定の VM へのアクセスを許可する
SSH アクセス	Compute インスタンス管理者（v1）（`roles/compute.instanceAdmin.v1`）	プロジェクト内のすべての VM インスタンスへのアクセスを許可するまたは特定の VM へのアクセスを許可する
OS Login（推奨）	複数	ユーザーアカウントに対して OS ログインの役割を構成する
サービスアカウントを使用する	サービスアカウントユーザー（`roles/iam.serviceAccountUser`）	serviceAccountUser のロール

IAP TCP 転送のロールの付与の詳細については、IAP TCP 転送のロールを付与するをご覧ください。

VM への証明書ベースのアクセスを構成する

IAP-TCP では、プロジェクト内のすべての VM インスタンスへのアクセスを許可できますが、個々の VM インスタンスごとに証明書ベースのアクセスを構成する必要があります。

証明書ベースの VM へのアクセス権をユーザーまたはユーザーグループに付与するには、VM インスタンスに対する roles/iap.tunnelResourceAccessor ロールを付与します。他のロールはプロジェクトに付与する必要があります。

コンソール

[IAP 管理] ページを開き、[SSH と TCP のリソース] タブを選択します。

IAP ページに移動
構成する VM インスタンスを選択します。情報パネルが表示されていない場合は、[情報パネルを表示] をクリックします。
[プリンシパルを追加] をクリックして、以下を構成します。
- 新しいプリンシパル: アクセスを許可するユーザーまたはユーザーグループを指定します。
- [ロールを選択]: [Cloud IAP] > [IAP で保護されたトンネルユーザー] を選択します。
[IAM 条件を追加] をクリックして、条件を構成します。
- タイトル: 条件の名前を入力します。
- [条件作成ツール]: [条件タイプ] プルダウンから [アクセスレベル] を選択し、前の手順で作成した証明書ベースのアクセスレベルを選択します。
[保存] をクリックします。

API

VM への証明書ベースのアクセスを構成するには、アプリケーションの policy.json ファイルを変更します。

IAM API を使用してアクセスポリシーを管理する方法については、IAP で保護されたリソースへのアクセスの管理をご覧ください。

次の変数をエクスポートします。

export IAP_BASE_URL=https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_tunnel
# Replace POLICY_FILE.JSON with the name of JSON file to use for setIamPolicy
export JSON_NEW_POLICY=POLICY_FILE.JSON

getIamPolicy メソッドを使用して、Compute Engine インスタンスの IAM ポリシーを取得します。最後にある空のデータビットを使用して、curl リクエストを GET ではなく POST に変えます。
```
curl -i -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     ${IAP_BASE_URL}/zones/ZONE_NAME/instances/INSTANCE_ID or INSTANCE_NAME:getIamPolicy \
     -d ''
```
iap.tunnelResourceAccessor ロールと証明書ベースのアクセスをプリンシパルに付与するには、IAM ポリシーの JSON ファイルを変更します。

以下は、iap.tunnelResourceAccessor ロールを VM インスタンス管理者のグループに付与し、IAP で保護されたトンネルリソースに証明書ベースのアクセスを付与する policy.json ファイルの例です。

プリンシパルにオーナーのロールがある場合、TCP 転送に IAP を使用する権限が付与されています。
```
{
  "policy": {
    "bindings": [
      {
        "role": "roles/iap.tunnelResourceAccessor",
        "members": ["group:instance-admins@example.com"],
        "condition": {
          "expression": "\"accessPolicies/POLICY_NAME/accessLevels/CERTIFICATE_BASED_ACCESS_LEVEL_NAME\" in request.auth.access_levels,
          "title": "CERTIFICATE_BASED_CONDITION_NAME"
        }
      }
    ]
  }
}
```
ポリシー名を見つけるには、accessPolicies.list メソッドを呼び出します。
```
GET https://accesscontextmanager.googleapis.com/v1/accessPolicies
```

setIamPolicy メソッドを使用して、新しい policy.json ファイルを設定します。

curl -i -H "Content-Type:application/json" \
          -H "Authorization: Bearer $(gcloud auth print-access-token)" \
          ${IAP_BASE_URL}/zones/ZONE_NAME/instances/INSTANCE_ID or INSTANCE_NAME:setIamPolicy \
          -d @${JSON_NEW_POLICY}

クライアント証明書を使用して VM にアクセスする

クライアント証明書を使用して VM にアクセスするには、次のいずれかのメソッドを使用します。

エンタープライズ証明書を使用する: PKI インフラストラクチャがある場合は、このメソッドを使用します。
Endpoint Verification でプロビジョニングされた証明書を使用する: PKI インフラストラクチャがない場合は、このメソッドを使用します。Endpoint Verification では、Google Cloud であらゆるデバイスに自己署名証明書が自動的にプロビジョニングおよび登録されます。

Chrome ブラウザでクライアント証明書を使用して VM にアクセスする

次のいずれかのオプションを使用して Chrome ブラウザを設定します。
- 企業向け証明書を使用するように Chrome ブラウザを設定します。
- Endpoint Verification でプロビジョニングされた証明書を使用するように Chrome ブラウザを構成します。
Chrome ブラウザで次のドメインを入力して、Google Cloud コンソール: console-secure.cloud.google.com にアクセスします。
IAP トンネリングを使用して Google Cloud VM にアクセスします。

gcloud CLI でクライアント証明書を使用して VM にアクセスする

次のいずれかの方法で gcloud CLI を構成します。
- エンタープライズ証明書を使用するように gcloud CLI を構成する
- プロビジョニングされた Endpoint Verification 証明書を使用するように gcloud CLI を構成する
IAP トンネリングを使用して Google Cloud VM にアクセスします。