Se usó la API de Cloud Translation para traducir esta página.

Protege apps y recursos de Compute Engine con IAP

En esta página, se explica cómo proteger una instancia de Compute Engine con Identity-Aware Proxy (IAP).

Para proteger los recursos que no están en Google Cloud, consulta Protege las apps y los recursos locales.

Antes de comenzar

Con el fin de habilitar IAP para Compute Engine, necesitas lo siguiente:

Un proyecto de Google Cloud console con facturación habilitada
Un grupo de una o más instancias de Compute Engine, entregadas por un balanceador de cargas
- Obtén información sobre cómo configurar un balanceador de cargas HTTPS externo.
- Obtén información sobre cómo configurar un balanceador de cargas HTTP interno.
Un nombre de dominio registrado con la dirección de tu balanceador de cargas
Un código de aplicación para verificar que todas las solicitudes tengan una identidad
- Aprender cómo obtener la identidad del usuario

Si aún no configuraste tu instancia de Compute Engine, consulta Configura IAP para Compute Engine con el fin de obtener una explicación completa.

IAP usa un cliente de OAuth administrado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.

Puedes habilitar IAP en un servicio de backend de Compute Engine o en una regla de reenvío de Compute Engine. Cuando habilitas la IAP en un servicio de backend de Compute Engine, solo ese servicio de backend está protegido por la IAP. Cuando habilitas IAP en una regla de reenvío de Compute Engine, IAP protege todas las instancias de Compute Engine que se encuentran detrás de la regla de reenvío.

Habilita IAP en una regla de reenvío

Puedes habilitar la IAP en una regla de reenvío con el framework de políticas de autorización del balanceador de cargas.

Después de habilitar IAP en una regla de reenvío, puedes aplicar permisos a los recursos.

Habilita IAP en un servicio de backend de Compute Engine

Puedes habilitar los IAP en un servicio de backend de Compute Engine a través de ese servicio.

Console

El cliente de OAuth administrado por Google no está disponible cuando se habilitan los IAP con la consola de Google Cloud .

gcloud

API

Próximos pasos

Establece reglas de contexto enriquecidas mediante la aplicación de niveles de acceso.
Para ver las solicitudes de acceso, habilita los Registros de auditoría de Cloud.
Obtén más información sobre IAP.