Sécuriser les applications et les ressources Compute Engine avec IAP

Cette page explique comment sécuriser une instance Compute Engine avec Identity-Aware Proxy (IAP).

Pour sécuriser des ressources qui ne sont pas sur Google Cloud, consultez la page Sécuriser les applications et les ressources sur site.

Avant de commencer

Pour activer IAP pour Compute Engine, vous devez disposer des éléments suivants :

Si votre instance Compute Engine n'est pas déjà configurée, consultez la page Configurer IAP pour Compute Engine pour obtenir une présentation complète.

IAP utilise un client OAuth géré par Google pour authentifier les utilisateurs. Seuls les utilisateurs de l'organisation peuvent accéder à l'application compatible avec les achats intégrés. Si vous souhaitez autoriser l'accès à des utilisateurs externes à votre organisation, consultez la section Activer IAP pour les applications externes.

Vous pouvez activer l'IAP sur un service backend Compute Engine ou sur une règle de transfert Compute Engine. Lorsque vous activez l'IAP sur un service de backend Compute Engine, seul ce service de backend est protégé par l'IAP. Lorsque vous activez IAP sur une règle de transfert Compute Engine, toutes les instances Compute Engine derrière la règle de transfert sont protégées par IAP.

Activer l'IAP sur une règle de transfert

Vous pouvez activer l'API Access Policy sur une règle de transfert à l'aide du framework de règles d'autorisation de l'équilibreur de charge.

Une fois que vous avez activé l'IAP sur une règle de transfert, vous pouvez appliquer des autorisations aux ressources.

Activer IAP sur un service de backend Compute Engine

Vous pouvez activer l'IAP sur un service de backend Compute Engine via ce service de backend.

Console

Le client OAuth géré par Google n'est pas disponible lorsque vous activez l'IAP à l'aide de la console Google Cloud .

gcloud

API

Étapes suivantes