Cette page a été traduite par l'API Cloud Translation.
Switch to English

Sécuriser les applications et les ressources sur site avec IAP

Ce guide explique comment sécuriser une application sur site basée sur HTTP en dehors de Google Cloud à l'aide d'Identity-Aware Proxy (IAP) en déployant un connecteur IAP.

Avant de commencer

Avant de commencer, vous avez besoin des éléments suivants :

  • Une application sur site basée sur HTTP qui dispose de sa propre instance IAP
  • Un membre Cloud Identity auquel le rôle Propriétaire a été accordé sur votre projet Google Cloud.
  • Un projet Google Cloud avec facturation activée.
  • Le nom d'hôte DNS à utiliser comme point d'entrée du trafic vers Google Cloud. Par exemple, www.hr-domain.com.
  • Un certificat SSL ou TLS pour le nom d'hôte DNS utilisé comme point d'entrée du trafic vers Google Cloud. Un certificat existant autogéré ou géré par Google peut être utilisé. Si vous n'avez pas de certificat, créez-en un à l'aide de Let's Encrypt.

Déployer un connecteur pour une application sur site

  1. Accédez à la page d'administration d'IAP.

    Accéder à la page d'administration d'IAP

  2. Commencez à configurer le déploiement de votre connecteur pour une application sur site en cliquant sur Configuration de connecteurs sur site.

  3. Assurez-vous que les API requises sont chargées en cliquant sur Activer les API.

  4. Choisissez si le déploiement doit utiliser un certificat géré par Google ou un certificat que vous gérez, sélectionnez le réseau et le sous-réseau du déploiement (ou choisissez d'en créer un), puis cliquez sur Suivant.

  5. Saisissez les détails pour une application sur site que vous souhaitez ajouter :

    • URL externe des requêtes provenant de Google Cloud. Cette URL correspond au trafic entrant dans l'environnement.
    • Nom de l'application. Il servira également de nom au nouveau service de backend derrière l'équilibreur de charge.
    • Région dans laquelle le connecteur doit être déployé. Par exemple, us-central.
    • Une ou plusieurs zones dans lesquelles le connecteur IAP doit être déployé (par exemple, us-central1-a) et, pour chacune, l'adresse IPv4 de la destination interne de l'application sur site vers laquelle IAP achemine le trafic après qu'un utilisateur a été autorisé et authentifié.
    • Port utilisé pour accéder aux destinations internes.
  6. Cliquez sur OK pour enregistrer les informations concernant cette application. Si vous le souhaitez, vous pouvez ensuite définir d'autres applications sur site pour le déploiement.

  7. Lorsque vous êtes prêt, cliquez sur Envoyer pour commencer le déploiement des applications que vous avez définies.

Une fois le déploiement terminé, les applications du connecteur sur site apparaissent dans la table des ressources HTTP et IAP peut être activé.

Gérer un connecteur pour une application sur site

  • Vous pouvez ajouter d'autres applications à votre déploiement à tout moment en cliquant sur Configuration de connecteurs sur site.
  • Vous ne pouvez supprimer une application de connecteur sur site qu'en supprimant l'intégralité du déploiement :

    1. Accédez à la page Deployment Manager.

      Accéder à la page Deployment Manager

    2. Dans la liste des déploiements, cochez la case située à côté du déploiement "on-prem-app-deployment".

    3. En haut de la page, cliquez sur Supprimer.

Étapes suivantes