本頁面說明如何使用 Identity-Aware Proxy (IAP) 保護 Compute Engine 執行個體。
如要保護不在 Google Cloud上的資源,請參閱「保護內部部署應用程式和資源」。
事前準備
如要為 Compute Engine 啟用 IAP,請先準備好下列項目:
- 已啟用計費功能的 Google Cloud 主控台專案。
- 一或多個 Compute Engine 執行個體的群組,由負載平衡器提供服務。
- 瞭解如何設定外部 HTTPS 負載平衡器。
- 瞭解如何設定內部 HTTP 負載平衡器。
- 已註冊至您負載平衡器位址的網域名稱。
- 確認所有要求都擁有身分識別資訊的應用程式程式碼。
- 瞭解如何取得使用者身分識別資訊。
如果您尚未設定 Compute Engine 執行個體,請參閱「為 Compute Engine 設定 IAP」一文,取得完整逐步操作說明。
IAP 會使用 Google 代管的 OAuth 用戶端來驗證使用者。只有機構內的使用者可以存取啟用 IAP 的應用程式。如要允許機構外的使用者存取,請參閱「為外部應用程式啟用應用程式內購功能」。
您可以在 Compute Engine 後端服務或 Compute Engine 轉送規則中啟用 IAP。在 Compute Engine 後端服務上啟用 IAP 時,只有該後端服務受到 IAP 保護。在 Compute Engine 轉送規則上啟用 IAP 後,轉送規則後方的所有 Compute Engine 執行個體都會受到 IAP 保護。
在轉送規則中啟用 IAP
您可以使用負載平衡器的授權政策架構,在轉送規則中啟用 IAP。
在轉送規則中啟用 IAP 後,您就可以將權限套用至資源。
在 Compute Engine 後端服務中啟用 IAP
您可以透過該後端服務,在 Compute Engine 後端服務上啟用 IAP。
主控台
使用 Google Cloud 主控台啟用 IAP 時,Google 代管的 OAuth 用戶端就無法使用。
gcloud
API
後續步驟
- 套用存取層級,設定更精細的情境規則。
- 啟用 Cloud 稽核記錄,即可查看存取要求。
- 進一步瞭解 IAP。