Esta página se ha traducido con Cloud Translation API.

Proteger aplicaciones y recursos de Compute Engine con IAP

En esta página se explica cómo proteger una instancia de Compute Engine con Identity-Aware Proxy (IAP).

Para proteger los recursos que no están en Google Cloud, consulta Proteger aplicaciones y recursos on-premise.

Antes de empezar

Para habilitar IAP para Compute Engine, necesitas lo siguiente:

Un proyecto de la consola de Google Cloud con la facturación habilitada. Google Cloud
Grupo de una o varias instancias de Compute Engine, servidas por un balanceador de carga.
- Consulta información sobre cómo configurar un balanceador de carga HTTPS externo.
- Consulta cómo configurar un balanceador de carga HTTP interno.
Un nombre de dominio registrado en la dirección de tu balanceador de carga.
Código de aplicación para verificar que todas las solicitudes tienen una identidad.
- Consulta cómo obtener la identidad del usuario.

Si aún no has configurado tu instancia de Compute Engine, consulta Configurar IAP para Compute Engine para ver una guía completa.

IAP usa un cliente de OAuth gestionado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación con IAP. Si quieres permitir el acceso a usuarios ajenos a tu organización, consulta Habilitar las compras en aplicaciones para aplicaciones externas.

Puedes habilitar IAP en un servicio de backend de Compute Engine o en una regla de reenvío de Compute Engine. Cuando habilitas IAP en un servicio de backend de Compute Engine, solo ese servicio de backend está protegido por IAP. Cuando habilitas IAP en una regla de reenvío de Compute Engine, todas las instancias de Compute Engine que hay detrás de la regla de reenvío están protegidas por IAP.

Habilitar IAP en una regla de reenvío

Puedes habilitar IAP en una regla de reenvío mediante el framework de políticas de autorización del balanceador de carga.

Después de habilitar IAP en una regla de reenvío, puedes aplicar permisos a los recursos.

Habilitar IAP en un servicio de backend de Compute Engine

Puedes habilitar IAP en un servicio de backend de Compute Engine a través de ese servicio de backend.

consola

El cliente de OAuth gestionado por Google no está disponible al habilitar IAP mediante la Google Cloud consola.

gcloud

API

Pasos siguientes

Define reglas de contexto más efectivas aplicando niveles de acceso.
Para ver las solicitudes de acceso, habilita los registros de auditoría de Cloud.
Consulta más información sobre IAP.