Diese Seite wurde von der Cloud Translation API übersetzt.

Compute Engine-Anwendungen und -Ressourcen mit IAP sichern

Auf dieser Seite wird erläutert, wie eine Compute Engine-Instanz mit Identity-Aware Proxy (IAP) gesichert wird.

Informationen zum Schutz von Ressourcen, die nicht in Google Cloud gespeichert sind, finden Sie unter Lokale Anwendungen und Ressourcen sichern. Google Cloud

Hinweise

Zum Aktivieren von IAP für Compute Engine benötigen Sie Folgendes:

Ein Google Cloud Console-Projekt mit aktivierter Abrechnung.
Eine Gruppe von einer oder mehreren Compute Engine-Instanzen, die von einem Load-Balancer bedient werden.
- Externen HTTPS-Load-Balancer einrichten.
- Internen HTTP-Load-Balancer einrichten
Einen Domainnamen, der auf die Adresse des Load-Balancer registriert ist.
Anwendungscode, der überprüft, ob alle Anfragen eine Identität haben.
- Weitere Informationen dazu finden Sie unter Identität des Nutzers abrufen.

Wenn Sie Ihre Compute Engine-Instanz noch nicht eingerichtet haben, lesen Sie die vollständige Schritt-für-Schritt-Anleitung unter IAP für Compute Engine einrichten.

IAP verwendet einen von Google verwalteten OAuth-Client, um Nutzer zu authentifizieren. Nur Nutzer innerhalb der Organisation können auf die IAP-kompatible App zugreifen. Wenn Sie Nutzern außerhalb Ihrer Organisation Zugriff gewähren möchten, lesen Sie den Hilfeartikel IAP für externe Anwendungen aktivieren.

Sie können IAP für einen Compute Engine-Back-End-Dienst oder eine Compute Engine-Weiterleitungsregel aktivieren. Wenn Sie IAP für einen Compute Engine-Back-End-Dienst aktivieren, wird nur dieser Back-End-Dienst durch IAP geschützt. Wenn Sie IAP für eine Compute Engine-Weiterleitungsregel aktivieren, werden alle Compute Engine-Instanzen hinter der Weiterleitungsregel durch IAP geschützt.

IAP für eine Weiterleitungsregel aktivieren

Sie können IAP für eine Weiterleitungsregel mithilfe des Frameworks für Autorisierungsrichtlinien für Load Balancer aktivieren.

Nachdem Sie IAP für eine Weiterleitungsregel aktiviert haben, können Sie Berechtigungen auf Ressourcen anwenden.

IAP für einen Compute Engine-Back-End-Dienst aktivieren

Sie können IAP für einen Compute Engine-Back-End-Dienst über diesen Back-End-Dienst aktivieren.

Console

Der von Google verwaltete OAuth-Client ist nicht verfügbar, wenn Sie IAP über die Google Cloud -Konsole aktivieren.

gcloud

API

Nächste Schritte

Umfassendere Kontextregeln durch Anwenden von Zugriffsebenen festlegen
Mehr über Zugriffsanfragen durch Cloud-Audit-Logs aktivieren erfahren
Weitere Informationen zu IAP