Diese Seite wurde von der Cloud Translation API übersetzt.

App Engine-Anwendungen mit IAP sichern

Auf dieser Seite wird die Bereitstellung einer Anwendung für die App Engine-Standardumgebung oder für die flexible App Engine-Umgebung und deren Schutz mit Identity-Aware Proxy (IAP) erläutert. Die Kurzanleitung umfasst Beispielcode für eine Webanwendung in der App Engine-Standardumgebung, die den Namen eines angemeldeten Nutzers prüft.

Wenn Sie Ressourcen aus einem Content Delivery Network (CDN) bereitstellen möchten, finden Sie wichtige Informationen dazu im Best-Practices-Leitfaden.

Informationen zum Schutz von Ressourcen, die nicht in Google Cloud gespeichert sind, finden Sie unter Lokale Anwendungen und Ressourcen sichern. Google Cloud

Hinweise

Zum Aktivieren von IAP für die App Engine benötigen Sie Folgendes:

Ein Google Cloud Console-Projekt mit aktivierter Abrechnung.

Wenn Sie Ihre App Engine-Instanz noch nicht eingerichtet haben, finden Sie unter App Engine bereitstellen eine vollständige Schritt-für-Schritt-Anleitung.

IAP verwendet einen von Google verwalteten OAuth-Client, um Nutzer zu authentifizieren. Nur Nutzer innerhalb der Organisation können auf die IAP-kompatible Anwendung zugreifen. Wenn Sie Nutzern außerhalb Ihrer Organisation Zugriff gewähren möchten, lesen Sie den Hilfeartikel IAP für externe Anwendungen aktivieren.

IAP aktivieren

Console

Der von Google verwaltete OAuth-Client ist nicht verfügbar, wenn Sie IAP über die Google Cloud -Konsole aktivieren.

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

Turning on IAP

On the Identity-Aware Proxy page, under APPLICATIONS, find the application you want to restrict access to. To turn on IAP for a resource,
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only accounts with the IAP-Secured Web App User role on the project will be given access.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

To authenticate, use the Google Cloud CLI and run the following command.
```
gcloud auth login
```
Click the URL that appears and sign in.
After you sign in, copy the verification code that appears and paste it in the command line.
Run the following command to specify the project that contains the applications that you want to protect with IAP.
```
gcloud config set project PROJECT_ID
```

To enable IAP, run the following command.

gcloud iap web enable --resource-type=app-engine --versions=version

Add principals who should have the IAP-secured Web App user role to the project.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Replace PROJECT_ID with your project ID.
- Replace PRINCIPAL_IDENTIFIER with the necessary principals. This can be a type of domain, group, serviceAccount, or user. For example, user:myemail@example.com.

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten.
```
cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF
```

Führen Sie den folgenden Befehl aus, um In-App-Produkte zu aktivieren.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Nachdem Sie IAP aktiviert haben, können Sie mit der Google Cloud CLI die IAP-Zugriffsrichtlinie mithilfe der IAM-Rolle roles/iap.httpsResourceAccessor ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

Nutzerauthentifizierung testen

Rufen Sie die App-URL über ein Google-Konto auf, das Sie IAP unter Einsatz der oben beschriebenen Rolle Nutzer von IAP-gesicherten Web-Apps hinzugefügt haben. Sie müssen dazu uneingeschränkten Zugriff auf die Anwendung haben.
Für den Zugriff auf die Anwendung verwenden Sie ein Inkognitofenster in Chrome. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Wenn Sie versuchen, mit einem Konto, das nicht mit der Rolle Nutzer von IAP-gesicherten Web-Apps autorisiert ist, auf die Anwendung zuzugreifen, werden Sie in einer Meldung darauf hingewiesen, dass Sie keinen Zugriff haben.

Nächste Schritte

Umfassendere Kontextregeln durch Anwenden von Zugriffsebenen festlegen
Mehr über Zugriffsanfragen durch Cloud-Audit-Logs aktivieren erfahren
Weitere Informationen zu IAP
Mehr darüber erfahren, wie Sie die Identität des Nutzers abrufen und Ihre eigene App Engine-Anwendung entwickeln