Esta página foi traduzida pela API Cloud Translation.

Como proteger aplicativos e recursos do Compute Engine com o IAP

Nesta página, você aprenderá como proteger uma instância do Compute Engine com o Identity-Aware Proxy (IAP).

Para proteger recursos que não estão no Google Cloud, consulte Como proteger apps e recursos no local.

Antes de começar

Para ativar o IAP para o Compute Engine, você precisará destes elementos:

Um Google Cloud projeto do console com faturamento ativado.
Um grupo de uma ou mais instâncias do Compute Engine, exibidas por um balanceador de carga.
- Saiba mais sobre Como configurar um balanceador de carga HTTPS externo.
- Saiba mais sobre como configurar um balanceador de carga HTTP interno.
um nome de domínio registrado no endereço do balanceador de carga.
o código do aplicativo para verificar se todas as solicitações têm uma identidade.
- Saiba mais sobre como conseguir a identidade do usuário.

Se você ainda não configurou a instância do Compute Engine, consulte Como configurar o IAP para o Compute Engine para um tutorial completo.

O IAP usa um cliente OAuth gerenciado pelo Google para autenticar usuários. Somente os usuários da organização podem acessar o aplicativo ativado para IAPs. Se você quiser permitir o acesso a usuários de fora da sua organização, consulte Ativar o IAP para aplicativos externos.

É possível ativar o IAP em um serviço de back-end do Compute Engine ou em uma regra de encaminhamento do Compute Engine. Quando você ativa o IAP em um serviço de back-end do Compute Engine, somente esse serviço de back-end é protegido pelo IAP. Quando você ativa o IAP em uma regra de encaminhamento do Compute Engine, todas as instâncias do Compute Engine por trás da regra de encaminhamento são protegidas pelo IAP.

Ativar o IAP em uma regra de encaminhamento

É possível ativar o IAP em uma regra de encaminhamento usando o framework de políticas de autorização do balanceador de carga.

Depois de ativar o IAP em uma regra de encaminhamento, é possível aplicar permissões aos recursos.

Ativar o IAP em um serviço de back-end do Compute Engine

É possível ativar o IAP em um serviço de back-end do Compute Engine por esse serviço de back-end.

Console

O cliente OAuth gerenciado pelo Google não está disponível ao ativar o IAP usando o console Google Cloud .

gcloud

API

Próximas etapas

Defina regras de contexto mais avançadas aplicando níveis de acesso.
Para as solicitações de acesso, ative os registros de auditoria do Cloud.
Saiba mais sobre o IAP.