IAP による App Engine アプリの保護

このページでは、App Engine スタンダード環境またはフレキシブル環境のアプリケーションをデプロイし、それを Identity-Aware Proxy（IAP）で保護する手順について説明します。このクイックスタートには、ログインしているユーザーの名前を確認する App Engine スタンダード環境ウェブアプリのサンプルコードが含まれています。

コンテンツ配信ネットワーク（CDN）からリソースを提供する予定の場合、ベストプラクティスガイドの重要な情報をご覧ください。

Google Cloud 上にないリソースを保護するには、オンプレミスのアプリとリソースの保護をご覧ください。

準備

App Engine で IAP を有効にするには、次のものが必要です。

課金が有効になっている Google Cloud コンソールプロジェクト。

App Engine インスタンスをまだ設定していない場合は、App Engine のデプロイで完全なチュートリアルをご覧ください。

IAP は、Google が管理する OAuth クライアントを使用してユーザーを認証します。組織内のユーザーのみが IAP 対応アプリケーションにアクセスできます。組織外のユーザーにアクセスを許可するには、外部アプリケーション用に IAP を有効にするをご覧ください。

IAP の有効化

コンソール

Google Cloud コンソールを使用して IAP を有効にする場合、Google が管理する OAuth クライアントは使用できません。

ダイナミックインクルードファイル

プロジェクトの OAuth 同意画面をまだ構成していない場合は、画面を構成するように指示されます。OAuth 同意画面を構成する方法については、OAuth 同意画面の設定をご覧ください。

IAP アクセス権の設定

[Identity-Aware Proxy] ページに移動します。
[Identity-Aware Proxy] ページに移動
IAP で保護するプロジェクトを選択します。
アクセスを許可するリソースの横にあるチェックボックスをオンにします。
右側のパネルで [プリンシパルを追加] をクリックします。
表示される [メンバーの追加] ダイアログで、プロジェクトに対する IAP で保護されたウェブアプリユーザーの役割を付与するグループ、または個人のメールアドレスを追加します。
このロールを持つことができるプリンシパルの種類は次のとおりです。
- Google アカウント: user@gmail.com
- Google グループ: admins@googlegroups.com
- サービスアカウント: server@example.gserviceaccount.com
- Google Workspace ドメイン: example.com
追加する Google アカウントは、自分がアクセスできるものにしてください。
[役割] のプルダウンリストから [Cloud IAP] > [IAP で保護されたウェブアプリユーザー] を選択します。
[保存] をクリックします。

IAP の有効化

[Identity-Aware Proxy] ページの [APPLICATIONS] で、アクセスを制限するアプリケーションを見つけます。リソースの IAP を有効にするには、
表示された [IAP の有効化] ウィンドウで [有効にする] をクリックし、IAP でリソースを保護することを確認します。IAP が有効になった後は、ロードバランサへのすべての接続でログイン認証情報が必要になります。プロジェクトで IAP で保護されたウェブアプリユーザーの役割を持つアカウントにのみアクセスが許可されます。

gcloud

プロジェクトと IAP を設定する前に、最新バージョンの gcloud CLI を入手する必要があります。gcloud CLI のインストール方法については、gcloud CLI のインストールをご覧ください。

認証するには、Google Cloud CLI を使用して次のコマンドを実行します。
```
gcloud auth login
```
表示された URL をクリックしてログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
次のコマンドを実行して、IAP で保護するアプリケーションを含むプロジェクトを指定します。
```
gcloud config set project PROJECT_ID
```
IAP を有効にするには、次のコマンドを実行します。
```
gcloud iap web enable --resource-type=app-engine --versions=version
```

IAP を有効にすると、gcloud CLI で roles/iap.httpsResourceAccessor の IAM ロールを使用して IAP アクセスポリシーを変更できます。詳しくは、ロールと権限の管理をご覧ください。

API

次のコマンドを実行して settings.json ファイルを準備します。
```
cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF
```

次のコマンドを実行して、IAP を有効にします。

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

IAP を有効にすると、Google Cloud CLI で roles/iap.httpsResourceAccessor の IAM ロールを使用して IAP アクセスポリシーを変更できます。詳しくは、ロールと権限の管理をご覧ください。

ロールベースのアクセス権: プロジェクトオーナーであれば、アプリへのアクセス権が自動的に得られると考えるかもしれません。しかし、そうではありません。このプロジェクトで IAP で保護されたウェブアプリユーザーのロールを持つアカウントにのみアクセス権が付与されるためです。企業の IT 部門で人事の給与計算システムへの IAP アクセスを実装しているとします。ほとんどの場合、アプリにアクセスできるのは給与計算チームのスタッフのみであるべきです。これは、ロールベースのアクセスがより安全である理由の 1 つです。プロジェクトのオーナー（または編集者など）は、プロジェクトのすべての側面を管理できますが、アプリへのアクセス権が自動的に付与されることはありません。

ユーザー認証をテストする

IAP で保護されたウェブアプリユーザーについての上述のロールを使用して、IAP に追加した Google アカウントからアプリの URL にアクセスします。アプリに無制限にアクセスできるはずです。
Chrome のシークレットウィンドウを使用してアプリにアクセスし、プロンプトが表示されたらログインします。IAP で保護されたウェブアプリユーザーのロールによる認証を持たないアカウントでアプリにアクセスしようとすると、アクセスできないことを示すメッセージが表示されます。

次のステップ

アクセスレベルを適用して、より詳細なコンテキストルールを設定する。
Cloud Audit Logs を有効にするでアクセスリクエストを確認する。
IAP の詳細について学習する。
ユーザーの ID の取得方法を確認し、独自の App Engine アプリを開発する。