Compute Engine-Anwendungen und -Ressourcen mit IAP sichern

Auf dieser Seite wird erläutert, wie eine Compute Engine-Instanz mit Identity-Aware Proxy (IAP) gesichert wird.

Informationen zum Schutz von Ressourcen, die nicht in Google Cloud gespeichert sind, finden Sie unter Lokale Anwendungen und Ressourcen sichern.

Hinweis

Zum Aktivieren von IAP für Compute Engine benötigen Sie Folgendes:

Wenn Sie Ihre Compute Engine-Instanz noch nicht eingerichtet haben, lesen Sie die vollständige Schritt-für-Schritt-Anleitung unter IAP für Compute Engine einrichten.

IAP über die Google Cloud Console aktivieren

OAuth-Zustimmungsbildschirm konfigurieren

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, müssen Sie dies nachholen. Für den OAuth-Zustimmungsbildschirm sind eine E-Mail-Adresse und ein Produktname erforderlich.

  1. Öffnen Sie den OAuth-Zustimmungsbildschirm.
    Zustimmungsbildschirm konfigurieren
  2. Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die als öffentlicher Kontakt angezeigt werden soll. Die E-Mail-Adresse muss zum aktuell angemeldeten Nutzerkonto oder zu einer Google Groups-Gruppe gehören, zu der der aktuell angemeldete Nutzer gehört.
  3. Geben Sie den Namen der Anwendung ein, der angezeigt werden soll.
  4. Fügen Sie nach Belieben weitere Details hinzu.
  5. Klicken Sie auf Speichern.

Zum Ändern von Informationen im OAuth-Zustimmungsbildschirm wie Produktname oder E-Mail-Adresse müssen Sie die vorherigen Schritte zur Konfiguration des Zustimmungsbildschirms wiederholen.

OAuth-Anmeldedaten erstellen

  1. Rufen Sie die Seite Anmeldedaten auf.
    Zur Seite "Anmeldedaten"
  2. Wählen Sie im Drop-down-Menü Anmeldedaten erstellen die Option OAuth-Client-ID aus.
  3. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.
  4. Fügen Sie einen Namen für Ihre OAuth-Client-ID hinzu.
  5. Klicken Sie auf Erstellen.

    Die OAuth-Client-ID und der Clientschlüssel werden generiert und im Fenster OAuth-Client angezeigt.

  6. Kopieren Sie im Dialogfeld OAuth-Client erstellt die Client-ID in die Zwischenablage.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf den Namen des Clients, den Sie gerade erstellt haben, um ihn wieder zu bearbeiten.
  9. Geben Sie in das Feld Autorisierte Weiterleitungs-URIs den folgenden String ein: 
    https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect

    Dabei ist CLIENT_ID die OAuth-Client-ID, die Sie gerade in die Zwischenablage kopiert haben.

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Klicken Sie auf das Kästchen neben der Ressource, auf die Sie Zugriff gewähren möchten.
  4. Klicken Sie in der rechten Seitenleiste auf Hauptkonto hinzufügen.
  5. Geben Sie im Dialogfeld Hauptkonten hinzufügen die E-Mail-Adressen von Gruppen oder Einzelpersonen ein, die die Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt haben sollen.

    Die folgenden Arten von Hauptkonten können diese Rolle haben:

    • Google-Konto: nutzer@gmail.com
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: beispiel.de

    Fügen Sie unbedingt ein Google-Konto hinzu, auf das Sie zugreifen können.

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der Seite Identity-Aware Proxy unter ANWENDUNGEN nach dem Load-Balancer, der die instance group bereitstellt, auf die Sie den Zugriff beschränken möchten.
    So aktivieren Sie IAP:
    • Mindestens ein Protokoll in der Front-End-Konfiguration des Load-Balancers muss HTTPS sein. Load-Balancer einrichten
    • Sie benötigen die Berechtigungen compute.backendServices.update, clientauthconfig.clients.create und clientauthconfig.clients.getWithSecret. Diese Berechtigungen erhalten Sie über Rollen wie "Projektbearbeiter". Weitere Informationen finden Sie unter Zugriff auf durch IAP gesicherte Ressourcen verwalten.
  2. Klicken Sie im angezeigten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass die Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load-Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Konten mit der Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt.

IAP mit dem Google Cloud SDK aktivieren

In diesem Abschnitt wird gezeigt, wie Sie mit dem gcloud-Befehlszeilentool IAP für Compute Engine-Anwendungen aktivieren. Die Verwendung des gcloud-Befehlszeilentools zum Aktivieren von IAP für App Engine wird noch nicht unterstützt. Verwenden Sie stattdessen die App Engine-Kurzanleitung.

Google Cloud CLI abrufen

Bevor Sie Ihr Projekt und IAP einrichten, benötigen Sie eine aktuelle Version der gcloud CLI. gcloud CLI abrufen

Projekt wird eingerichtet

Wählen Sie das Projekt aus, für das Sie IAP aktivieren möchten, und richten Sie es so ein:

  1. Öffnen Sie die Seite Instanzgruppen, um sicherzugehen, dass Ihre Instanzen in einer Instanzgruppe sind.
  2. Definieren Sie Back-End-Dienste.
  3. Richten Sie das externe oder interne Load-Balancing ein.
  4. Richten Sie einen OAuth-Client ein:
    1. Rufen Sie API > Anmeldedaten auf und wählen Sie das Projekt aus, für das Sie IAP aktivieren möchten.
    2. Richten Sie Ihren OAuth-Zustimmungsbildschirm ein:
      1. Öffnen Sie den OAuth-Zustimmungsbildschirm.
        Zustimmungsbildschirm konfigurieren
      2. Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die als öffentlicher Kontakt angezeigt werden soll. Die E-Mail-Adresse muss zum aktuell angemeldeten Nutzerkonto oder zu einer Google Groups-Gruppe gehören, zu der der aktuell angemeldete Nutzer gehört.
      3. Geben Sie den Namen der Anwendung ein, der angezeigt werden soll.
      4. Fügen Sie nach Belieben weitere Details hinzu.
      5. Klicken Sie auf Speichern.

      Zum Ändern von Informationen im OAuth-Zustimmungsbildschirm wie Produktname oder E-Mail-Adresse müssen Sie die vorherigen Schritte zur Konfiguration des Zustimmungsbildschirms wiederholen.

    3. Klicken Sie unter Anmeldedaten auf Anmeldedaten erstellen > OAuth-Client-ID.
    4. Wählen Sie unter Anwendungstyp die Option Webanwendung aus und fügen Sie dann einen Namen hinzu.
    5. Wenn Sie mit der Eingabe der Details fertig sind, klicken Sie auf Erstellen.
    6. Im Fenster OAuth-Client, das nun erscheint, notieren Sie sich die Client-ID und den Clientschlüssel.
    7. Wählen Sie den Client erneut aus. Fügen Sie dem Feld autorisierte Weiterleitungs-URIs die universelle Weiterleitungs-URL im Format https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect hinzu, wobei CLIENT_ID die OAuth-Client-ID ist.

IAP aktivieren

  1. Verwenden Sie die Google Cloud CLI, um gcloud auth login auszuführen.
  2. Folgen Sie der URL, die angezeigt wird, um sich anzumelden.
  3. Kopieren Sie, nachdem Sie sich angemeldet haben, den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.
  4. Führen Sie gcloud config set project PROJECT_ID für das Projekt aus, für das Sie IAP aktivieren möchten.
  5. Verwenden Sie die OAuth-Client-ID und das Secret, die Sie zuvor erstellt haben, und führen Sie den Befehl global oder regional aus, um IAP zu aktivieren.
    • Globaler Geltungsbereich: gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET.
    • Regionaler Geltungsbereich: gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET.

Nachdem Sie IAP aktiviert haben, können Sie mit dem gcloud-Befehlszeilentool die IAP-Zugriffsrichtlinie mithilfe der IAM-Rolle roles/iap.httpsResourceAccessor bearbeiten. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

Nächste Schritte