このガイドでは、IAP コネクタをデプロイして、Google Cloud の外部にある HTTP ベースのオンプレミス アプリを Identity-Aware Proxy(IAP)で保護する方法について説明します。
始める前に
始める前に、次のものが必要になります。
- 独自の IAP インスタンスを持つ HTTP ベースのオンプレミス アプリ。
- Google Cloud プロジェクトでオーナー役割が付与されている Cloud Identity メンバー。
- 課金を有効にした Google Cloud プロジェクト
- Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名。例:
www.hr-domain.com
- Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名の SSL 証明書または TLS 証明書。既存のセルフマネージドまたは Google 管理の証明書を使用できます。証明書がない場合は、Let's Encrypt を使用して証明書を作成してください。
オンプレミス アプリのコネクタをデプロイする
IAP 管理ページに移動します。
[オンプレミス コネクタのセットアップ] をクリックして、オンプレミス アプリのコネクタデプロイの設定を開始します。
[API を有効にする] をクリックして、必要な API が読み込まれていることを確認します。
デプロイで Google マネージド証明書を使用するか、自分で管理する証明書を使用するかを選択し、[次へ] をクリックします。
追加するオンプレミス アプリの詳細を入力します。
- Google Cloud に送信されるリクエストの外部 URL。トラフィックはこの URL から環境内に入ります。
- アプリの名前。ロードバランサの背後にある新しいバックエンド サービスの名前としても使用されます。
- コネクタをデプロイするリージョン。例:
us-central
- IAP コネクタをデプロイする 1 つ以上のゾーン(例:
us-central1-a
)、それぞれにオンプレミス アプリの内部宛先の IPv4 アドレス。ユーザーが承認および認証された後、IAP はここにトラフィックをルーティングします。 - 内部宛先へのアクセスに使用されるポート。
[完了] をクリックしてアプリの詳細を保存します。必要に応じて、デプロイ用のオンプレミス アプリを追加で定義できます。
準備ができたら、[送信] をクリックして、定義したアプリのデプロイを開始します。
デプロイが完了すると、オンプレミスのコネクタアプリが HTTP リソースの表に表示され、IAP が有効になります。
オンプレミス アプリのコネクタを管理する
- [オンプレミスのコネクタのセットアップ] をクリックすると、いつでもデプロイにアプリを追加できます。
オンプレミス コネクタアプリを削除するには、デプロイ全体を削除します。
Deployment Manager のページに移動します。
デプロイのリストで、「on-prem-app-deployment」デプロイの横にあるチェックボックスをオンにします。
ページの上部にある [削除] をクリックします。
次のステップ
- アクセスレベルを適用して、より詳細なコンテキスト ルールを設定する。
- Cloud Audit Logs を有効にするでアクセス リクエストを確認する。
- IAP の詳細について学習する。