このページは Cloud Translation API によって翻訳されました。

IAP による Compute Engine アプリとリソースの保護

このページでは、Identity-Aware Proxy（IAP）で Compute Engine インスタンスを保護する方法について説明します。

Google Cloud上にないリソースを保護するには、オンプレミスのアプリとリソースの保護をご覧ください。

始める前に

Compute Engine で IAP を有効にするには、次のものが必要です。

課金が有効になっている Google Cloud コンソールプロジェクト。
ロードバランサで処理される 1 つ以上の Compute Engine インスタンスのグループ。
- 外部 HTTPS ロードバランサの設定についての詳細の確認。
- 内部 HTTP ロードバランサの設定についての詳細の確認。
ロードバランサのアドレスに登録されたドメイン名。
すべてのリクエストに ID があることを確認するアプリケーションコード。
- ユーザーの ID の取得をご覧ください。

Compute Engine インスタンスをまだ設定していない場合は、Compute Engine の IAP の設定をご覧ください。

IAP は、Google が管理する OAuth クライアントを使用してユーザーを認証します。組織内のユーザーのみが IAP 対応アプリケーションにアクセスできます。組織外のユーザーにアクセスを許可するには、外部アプリケーション用に IAP を有効にするをご覧ください。

IAP は、Compute Engine のバックエンドサービスまたは Compute Engine の転送ルールで有効にできます。Compute Engine バックエンドサービスで IAP を有効にすると、そのバックエンドサービスのみが IAP によって保護されます。Compute Engine 転送ルールで IAP を有効にすると、転送ルールの背後にあるすべての Compute Engine インスタンスが IAP によって保護されます。

転送ルールで IAP を有効にする

転送ルールで IAP を有効にするには、ロードバランサの認可ポリシーフレームワークを使用します。

転送ルールで IAP を有効にした後で、リソースに権限を適用できます。

Compute Engine バックエンドサービスで IAP を有効にする

Compute Engine バックエンドサービスで IAP を有効にするには、そのバックエンドサービスを使用します。

Console

コンソールを使用して IAP を有効にする場合、Google が管理する OAuth クライアントは使用できません。 Google Cloud

gcloud

API

次のステップ

アクセスレベルを適用して、より詳細なコンテキストルールを設定する。
Cloud Audit Logs を有効にするでアクセスリクエストを確認する。
IAP の詳細について学習する。