Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Compute Engine-Anwendungen und -Ressourcen mit IAP sichern

Auf dieser Seite wird erläutert, wie eine Compute Engine-Instanz mit Identity-Aware Proxy (IAP) gesichert wird.

Informationen zum Schutz von Ressourcen, die nicht in Google Cloud gespeichert sind, finden Sie unter Lokale Anwendungen und Ressourcen sichern.

Hinweis

Zum Aktivieren von IAP für Compute Engine benötigen Sie Folgendes:

Wenn Sie Ihre Compute Engine-Instanz noch nicht eingerichtet haben, lesen Sie die vollständige Schritt-für-Schritt-Anleitung unter IAP für Compute Engine einrichten.

IAP über die Cloud Console aktivieren

OAuth-Zustimmungsbildschirm konfigurieren

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, müssen Sie dies nachholen. Für den OAuth-Zustimmungsbildschirm sind eine E-Mail-Adresse und ein Produktname erforderlich.

  1. Rufen Sie den OAuth-Zustimmungsbildschirm auf.
    Zustimmungsbildschirm konfigurieren
  2. Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die als öffentlicher Kontakt angezeigt werden soll. Dies muss Ihre E-Mail-Adresse oder die einer Google-Gruppe sein, deren Inhaber Sie sind.
  3. Geben Sie unter Name der Anwendung den Namen der Anwendung ein, der angezeigt werden soll.
  4. Fügen Sie nach Belieben weitere Details hinzu.
  5. Klicken Sie auf Speichern.

Zum Ändern von Informationen im OAuth-Zustimmungsbildschirm wie Produktname oder E-Mail-Adresse müssen Sie die vorherigen Schritte zur Konfiguration des Zustimmungsbildschirms wiederholen.

OAuth-Anmeldedaten erstellen

  1. Rufen Sie die Seite Anmeldedaten auf.
    Zur Seite "Anmeldedaten"
  2. Wählen Sie in der Drop-down-Liste Anmeldedaten erstellen die Option OAuth-Client-ID aus.
  3. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.
  4. Fügen Sie unter Name einen Namen für Ihre OAuth-Client-ID hinzu.
  5. Klicken Sie auf Erstellen. Ihre OAuth-Client-ID und Ihr Clientschlüssel werden generiert und im Fenster OAuth-Client angezeigt.
  6. Klicken Sie auf OK.
  7. Wählen Sie den von Ihnen erstellten Client aus.
  8. Kopieren Sie die Client-ID in die Zwischenablage.
  9. Fügen Sie die universelle Weiterleitungs-URL im Feld Autorisierte Weiterleitungs-URIs im folgenden Format hinzu:
    https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect

    Dabei ist CLIENT_ID die OAuth-Client-ID.

  10. Klicken Sie oben auf der Seite auf JSON herunterladen. Sie benötigen diese Anmeldedaten in einem späteren Schritt.

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Aktivieren Sie das Kästchen neben der Ressource, die neue Mitglieder erhalten soll.
  4. Klicken Sie auf der rechten Seite auf Mitglied hinzufügen.
  5. Fügen Sie im daraufhin angezeigten Dialogfeld Mitglieder hinzufügen die E-Mail-Adressen von Nutzergruppen oder einzelnen Nutzern hinzu, denen Sie für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zuweisen möchten.

    Folgende Kontoarten sind als Mitglieder zulässig:

    • Google-Konto: nutzer@gmail.com
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: example.com

    Fügen Sie unbedingt ein Google-Konto hinzu, auf das Sie zugreifen können.

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der Seite Identity-Aware Proxy unter HTTPS-Ressourcen nach dem Load-Balancer, über den instance group bereitgestellt wird, auf die Sie den Zugriff beschränken möchten.
    So aktivieren Sie IAP:
    • Mindestens ein Protokoll in der Load-Balancer-Front-End-Konfiguration muss HTTPS sein. Erfahren Sie, wie Sie einen Load-Balancer einrichten.
    • Sie benötigen die Berechtigungen compute.backendServices.update, clientauthconfig.clients.create und clientauthconfig.clients.getWithSecret. Diese Berechtigungen erhalten Sie über Rollen wie "Projektbearbeiter". Weitere Informationen finden Sie unter Zugriff auf durch IAP gesicherte Ressourcen verwalten.
  2. Klicken Sie im angezeigten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass die Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load-Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Konten mit der Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt.

IAP mit dem Cloud SDK aktivieren

In diesem Abschnitt wird gezeigt, wie Sie mit dem gcloud-Befehlszeilentool IAP für Compute Engine-Anwendungen aktivieren. Die Verwendung des gcloud-Befehlszeilentools zum Aktivieren von IAP für App Engine wird noch nicht unterstützt. Verwenden Sie stattdessen die App Engine-Kurzanleitung.

Cloud SDK abrufen

Für das Einrichten Ihres Projekts und von IAP benötigen Sie eine aktuelle Version des Cloud SDK. Cloud SDK herunterladen

Projekt einrichten

Wählen Sie das Projekt aus, für das Sie IAP aktivieren möchten, und richten Sie es so ein:

  1. Rufen Sie die Seite Instanzgruppen auf, um zu prüfen, ob Ihre Instanzen zu einer Instanzgruppe gehören.
  2. Definieren Sie Back-End-Dienste.
  3. Richten Sie das Load-Balancing ein.
  4. Richten Sie einen OAuth-Client ein:
    1. Rufen Sie API > Anmeldedaten auf und wählen Sie das Projekt aus, für das Sie IAP aktivieren möchten.
    2. Richten Sie den OAuth-Zustimmungsbildschirm ein:
      1. Rufen Sie den OAuth-Zustimmungsbildschirm auf.
        Zustimmungsbildschirm konfigurieren
      2. Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die als öffentlicher Kontakt angezeigt werden soll. Dies muss Ihre E-Mail-Adresse oder die einer Google-Gruppe sein, deren Inhaber Sie sind.
      3. Geben Sie unter Name der Anwendung den Namen der Anwendung ein, der angezeigt werden soll.
      4. Fügen Sie nach Belieben weitere Details hinzu.
      5. Klicken Sie auf Speichern.

      Zum Ändern von Informationen im OAuth-Zustimmungsbildschirm wie Produktname oder E-Mail-Adresse müssen Sie die vorherigen Schritte zur Konfiguration des Zustimmungsbildschirms wiederholen.

    3. Klicken Sie unter Anmeldedaten auf Anmeldedaten erstellen > OAuth-Client-ID.
    4. Wählen Sie unter Anwendungstyp die Option Webanwendung aus und fügen Sie dann unter Name einen Namen hinzu.
    5. Wenn Sie mit der Eingabe der Details fertig sind, klicken Sie auf Erstellen.
    6. Im Fenster OAuth-Client, das nun erscheint, notieren Sie sich die Client-ID und den Clientschlüssel.
    7. Wählen Sie den Client erneut aus. Fügen Sie dem Feld autorisierte Weiterleitungs-URIs die universelle Weiterleitungs-URL im Format https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect hinzu, wobei CLIENT_ID die OAuth-Client-ID ist.

IAP aktivieren

  1. Verwenden Sie das gcloud-Befehlszeilentool, um gcloud auth login auszuführen.
  2. Folgen Sie der angezeigten URL, um sich anzumelden.
  3. Kopieren Sie, nachdem Sie sich angemeldet haben, den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.
  4. Führen Sie gcloud config set project project_id für das Projekt aus, für das Sie IAP aktivieren möchten.
  5. Verwenden Sie zum Aktivieren von IAP die OAuth-Client-ID und das Secret, die Sie zuvor erstellt haben, und führen gcloud compute backend-services update backend_service_name --global --iap=enabled,oauth2-client-id=client_id,oauth2-client-secret=client_secret aus.

Nachdem Sie IAP aktiviert haben, können Sie mit dem gcloud-Befehlszeilentool die IAP-Zugriffsrichtlinie mithilfe der IAM-Rolle roles/iap.httpsResourceAccessor bearbeiten. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

Nächste Schritte