Questa pagina è stata tradotta dall'API Cloud Translation.

Protezione delle app e delle risorse Compute Engine con IAP

Questa pagina spiega come proteggere un'istanza Compute Engine con Identity-Aware Proxy (IAP).

Per proteggere le risorse non su Google Cloud, consulta Protezione di app e risorse on-premise.

Prima di iniziare

Per abilitare IAP per Compute Engine, devi disporre di quanto segue:

Un Google Cloud progetto della console con la fatturazione abilitata.
Un gruppo di una o più istanze Compute Engine, gestito da un bilanciatore del carico.
- Scopri di più sulla configurazione di un bilanciatore del carico HTTPS esterno.
- Scopri come configurare un bilanciatore del carico HTTP interno.
Un nome di dominio registrato all'indirizzo del bilanciatore del carico.
Il codice dell'applicazione per verificare che tutte le richieste abbiano un'identità.
- Scopri di più sul recupero dell'identità dell'utente.

Se non hai ancora configurato l'istanza Compute Engine, consulta la sezione Configurazione di IAP per Compute Engine per una procedura dettagliata completa.

IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all'applicazione con funzionalità IAP. Se vuoi consentire l'accesso a utenti esterni all'organizzazione, consulta Attivare l'IAP per le applicazioni esterne.

Puoi attivare IAP su un servizio di backend Compute Engine o su una regola di inoltro Compute Engine. Quando attivi IAP su un servizio di backend di Compute Engine, solo quel servizio di backend è protetto da IAP. Quando attivi IAP su una regola di inoltro di Compute Engine, tutte le istanze Compute Engine dietro la regola di inoltro sono protette da IAP.

Attivare l'IAP su una regola di inoltro

Puoi attivare IAP in una regola di inoltro utilizzando il framework dei criteri di autorizzazione del bilanciatore del carico.

Dopo aver attivato l'IAP in una regola di inoltro, puoi applicare le autorizzazioni alle risorse.

Attivare IAP su un servizio di backend di Compute Engine

Puoi attivare IAP su un servizio di backend di Compute Engine tramite quel servizio di backend.

console

Il client OAuth gestito da Google non è disponibile quando attivi l'IAP utilizzando la Google Cloud console.

gcloud

API

Passaggi successivi

Imposta regole di contesto più avanzate applicando i livelli di accesso.
Visualizza le richieste di accesso abilitando gli audit log di Cloud.
Scopri di più su IAP.