Protege apps y recursos de Compute Engine con IAP

En esta página, se explica cómo proteger una instancia de Compute Engine con Identity-Aware Proxy (IAP).

Para proteger los recursos que no están en Google Cloud, consulta Protege las apps y los recursos locales.

Antes de comenzar

Con el fin de habilitar IAP para Compute Engine, necesitas lo siguiente:

Un proyecto de Cloud Console con facturación habilitada
Un grupo de una o más instancias de Compute Engine, entregadas por un balanceador de cargas
- Obtén información sobre cómo configurar un balanceador de cargas HTTPS externo.
- Obtén información sobre cómo configurar un balanceador de cargas HTTP interno.
Un nombre de dominio registrado con la dirección de tu balanceador de cargas
Un código de aplicación para verificar que todas las solicitudes tengan una identidad
- Aprender cómo obtener la identidad del usuario

Si aún no configuraste tu instancia de Compute Engine, consulta Configura IAP para Compute Engine con el fin de obtener una explicación completa.

Habilita IAP con Cloud Console

Configura la pantalla de consentimiento de OAuth

Si no configuraste la pantalla de consentimiento de OAuth de tu proyecto, debes hacerlo. Para esto, se requiere una dirección de correo electrónico y un nombre de producto.

Ve a la pantalla de consentimiento de OAuth.
Configuración de la pantalla de consentimiento
En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. Esta debe ser tu dirección de correo electrónico o un Grupo de Google de tu propiedad.
Ingresa el Nombre de la aplicación que deseas mostrar.
Agrega otro tipo de información opcional que desees mostrar.
Haz clic en Guardar.

Para cambiar la información en la pantalla de consentimiento de OAuth más tarde, como el nombre del producto o la dirección de correo electrónico, repite los pasos anteriores para configurarla.

Crea credenciales de OAuth

Ve a la página Credenciales.
Ir a la página Credenciales
En la lista desplegable Crear credenciales, selecciona ID de cliente de OAuth.
En Tipo de aplicación, selecciona Aplicación web.
Agrega un Nombre para tu ID de cliente de OAuth.
Haz clic en Crear. Tu ID de cliente de OAuth y tu secreto de cliente se generan y se muestran en la ventana Cliente de OAuth.
Haz clic en Aceptar.
Selecciona el cliente que creaste.
Copia el ID de cliente en el portapapeles.
Agrega la URL de redireccionamiento universal al campo URI de redireccionamiento autorizado en el siguiente formato:
```
https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect
```
donde CLIENT_ID es el ID de cliente de OAuth.
Cerca de la parte superior de la página, haz clic en Descargar JSON. Usarás estas credenciales en otro paso, más adelante.

Configura el acceso de IAP

Ve a la página Identity-Aware Proxy.
Ir a la página Identity-Aware Proxy
Selecciona el proyecto que deseas proteger con IAP.
Selecciona la casilla de verificación junto al recurso al que deseas agregar miembros.
En el panel de la derecha, haz clic en Agregar miembro.
En el cuadro de diálogo Agregar miembros que aparece, ingresa las direcciones de correo electrónico de los grupos o personas a quienes se debe asignar la función Usuario de app web protegida con IAP para el proyecto.
Las siguientes cuentas pueden ser miembros:
- Cuenta de Google: usuario@gmail.com
- Grupo de Google: administradores@googlegroups.com
- Cuenta de servicio: servidor@ejemplo.cuentadeserviciog.com
- Dominio del lugar de trabajo de Google: example.com
Asegúrate de agregar una Cuenta de Google a la que tengas acceso.
En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de aplicación web protegida con IAP.
Haz clic en Guardar.

Activa IAP

En la página Identity-Aware Proxy, en Recursos de HTTPS, busca el balanceador de cargas que publica instance group al que deseas restringir el acceso. A fin de activar IAP para un recurso, activa o desactiva el botón en la columna IAP.
Condición para habilitar IAP:
- Al menos un protocolo en la configuración del frontend del balanceador de cargas debe ser HTTPS. Obtén información sobre cómo configurar un balanceador de cargas.
- Necesitas los permisos compute.backendServices.update, clientauthconfig.clients.create y clientauthconfig.clients.getWithSecret. Estos permisos se otorgan por funciones, como la función de Editor de proyectos. Para obtener más información, consulta cómo administrar el acceso a los recursos protegidos con IAP.
En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que deseas que IAP proteja tu recurso. Después de activar IAP, se requieren credenciales de acceso para todas las conexiones a tu balanceador de cargas. Solo las cuentas con la función Usuario de la aplicación web protegida con IAP en el proyecto tendrán acceso.

Habilita IAP con el SDK de Cloud

En esta sección, se describe cómo usar la herramienta de línea de comandos de gcloud para activar IAP en aplicaciones Compute Engine. Aún no se admite el uso de la herramienta de línea de comandos de gcloud a fin de activar IAP para App Engine. En cambio, usa la guía de inicio rápido de App Engine.

Obtén el SDK de Cloud

Antes de configurar tu IAP y tu proyecto, necesitas una versión actualizada del SDK de Cloud. Obtén el SDK de Cloud.

Configura tu proyecto

Selecciona el proyecto para el que deseas habilitar IAP y configúralo de la siguiente manera:

Ve a la página Grupos de instancias para asegurarte de que tus instancias estén dentro de un grupo.
Define los servicios de backend.
Configura el balanceo de cargas.
Configura un cliente de OAuth:
1. Ve a API > Credenciales y selecciona el proyecto para el que deseas habilitar IAP.
2. Configura tu pantalla de consentimiento de OAuth:
  Precaución: No ingreses información confidencial en la pantalla de consentimiento de OAuth. Cualquier información que guardes en ella podría ser visible de forma pública para cualquier persona que acceda a tu URL. Los detalles del correo electrónico y del producto se muestran en la pantalla de acceso y cuando alguien intenta acceder a un recurso para el cual no tiene permiso.
  1. Ve a la pantalla de consentimiento de OAuth.
    Configuración de la pantalla de consentimiento
  2. En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. Esta debe ser tu dirección de correo electrónico o un Grupo de Google de tu propiedad.
  3. Ingresa el Nombre de la aplicación que deseas mostrar.
  4. Agrega otro tipo de información opcional que desees mostrar.
  5. Haz clic en Guardar.
  Para cambiar la información en la pantalla de consentimiento de OAuth más tarde, como el nombre del producto o la dirección de correo electrónico, repite los pasos anteriores para configurarla.
3. En Credenciales, haz clic en Crear credenciales > ID de cliente de OAuth.
4. En Tipo de aplicación, selecciona Aplicación web y, luego, agrega un Nombre.
5. Cuando termines de ingresar los detalles, haz clic en Crear.
6. En la ventana Cliente de OAuth que aparece a continuación, toma nota del ID del cliente y del secreto del cliente.
7. Vuelve a seleccionar el cliente. Agrega la URL de redireccionamiento universal al campo URI de redireccionamiento autorizados en el formato https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect, en el que CLIENT_ID es el ID de cliente de OAuth.

Habilita IAP

Usa la herramienta de línea de comandos gcloud para ejecutar gcloud auth login.
Sigue la URL que aparece para obtener acceso.
Después de acceder, copia el código de verificación que aparece y pégalo en la línea de comandos.
Ejecuta gcloud config set project project_id del proyecto para el que deseas habilitar IAP.
Para habilitar IAP, usa el ID de cliente de OAuth y el secreto que creaste anteriormente y ejecuta gcloud compute backend-services update backend_service_name --global --iap=enabled,oauth2-client-id=client_id,oauth2-client-secret=client_secret.

Después de habilitar IAP, puedes usar la herramienta de línea de comandos de gcloud para manipular la política de acceso de IAP con la función de IAM roles/iap.httpsResourceAccessor. Obtén más información sobre cómo administrar funciones y permisos.

Próximos pasos

Establece reglas de contexto enriquecidas mediante la aplicación de niveles de acceso.
Para ver las solicitudes de acceso, habilita los Registros de auditoría de Cloud.
Obtén más información sobre IAP.