本页介绍如何使用 Identity-Aware Proxy (IAP) 保护 Compute Engine 实例。
如需保护非 Google Cloud的资源,请参阅保护本地应用和资源。
准备工作
要为 Compute Engine 启用 IAP,您需要以下各项:
- Google Cloud 启用了结算功能的控制台项目。
- 由负载平衡器提供服务的一个或多个 Compute Engine 实例。
- 了解如何设置外部 HTTPS 负载平衡器。
- 了解如何设置内部 HTTP 负载平衡器。
- 已注册到负载平衡器地址的域名。
- 用于验证所有请求都拥有一个身份的应用代码。
- 了解如何获取用户的身份。
如果您尚未设置 Compute Engine 实例,请参阅为 Compute Engine 设置 IAP 以查看完整演示。
IAP 使用 Google 管理的 OAuth 客户端对用户进行身份验证。只有组织内的用户才能访问启用了 IAP 的应用。如果您想允许组织外部的用户访问,请参阅为外部应用启用 IAP。
您可以在 Compute Engine 后端服务或 Compute Engine 转发规则上启用 IAP。在 Compute Engine 后端服务上启用 IAP 后,只有该后端服务受 IAP 保护。在 Compute Engine 转发规则上启用 IAP 后,转发规则背后的所有 Compute Engine 实例都将受到 IAP 保护。
为转发规则启用 IAP
您可以使用负载平衡器授权政策框架在转发规则上启用 IAP。
在转发规则上启用 IAP 后,您可以向资源应用权限。
在 Compute Engine 后端服务上启用 IAP
您可以通过 Compute Engine 后端服务在该后端服务上启用 IAP。
控制台
使用 Google Cloud 控制台启用 IAP 时,Google 管理的 OAuth 客户端不可用。
gcloud
API
后续步骤
- 通过应用访问权限级别设置更丰富的情境规则。
- 通过启用 Cloud Audit Logs 查看访问权限请求。
- 详细了解 IAP。