Ressourcenzugriff auf bestimmte Domains beschränken

Zur Verbesserung der Gesamtsicherheit verweigert IAP standardmäßig den Zugriff auf Anfragen, die keine entsprechende Server Name Indication (SNI) haben. Dadurch kann IAP die URL-Weiterleitung auf schädliche Domains einschränken. Das Feature für zulässige IAP-Domains bietet eine zusätzliche Sicherheitsebene für Ihre IAP-geschützten Ressourcen. Als Ressourceninhaber oder IAP-Administrator können Sie den Zugriff auf mit IAP geschützte Ressourcen auf bestimmte Domains einschränken, indem Sie das Feature für zulässige Domains konfigurieren.

In den folgenden Szenarien können Sie für IAP zulässige Domains auch konfigurieren:

  • Ihr Browser oder ein zwischengeschalteter Proxy erzwingt Verbindungs-Pooling:In diesem Szenario erhalten Sie die HTTP-Antwort 429 und den Fehlercode 51. Zur Behebung des Problems kann ein IAP-Administrator die Liste der zulässigen Domains so aktualisieren, dass sie Ihren Hostnamen enthält.
  • Der angegebene Hostname stimmt nicht mit dem SSL-Zertifikat auf dem Server überein: In diesem Szenario wird der Fehlercode 52 angezeigt. Zur Behebung des Problems kann ein IAP-Administrator die Liste der zulässigen Domains so aktualisieren, dass sie Ihren Hostnamen enthält.

Zulässige Domains konfigurieren

Sie können die Einstellungen für zulässige Domains mit gcloud oder der API konfigurieren. Verwenden Sie die folgenden Felder, um zulässige Domains zu konfigurieren:

  • enable: Boolesch. Damit wird die Funktion „Zulässige Domains“ aktiviert oder deaktiviert.
  • Domains: String Die Liste der zulässigen Domains. Die Domains können Platzhalterpräfixe enthalten, z. B. *.example.com.. Domainnamen dürfen keinen Platzhalter direkt in einem öffentlichen Suffix oder in einer Top-Level-Domain enthalten. Beispiel: *.com, *.co.in.

Weitere Informationen finden Sie unter IapSettings.

Führen Sie die folgenden Schritte aus, um für IAP zulässige Domains zu konfigurieren:

Console

  1. Rufen Sie die Seite für IAP auf.
    Zu Identity-Aware Proxy.
  2. Wählen Sie ein Projekt und dann die Ressource aus, für die Sie die Funktion für zulässige Domains aktivieren möchten.
  3. Öffnen Sie die Einstellungen für die Ressource. Wählen Sie unter Zulässige Domains die Option Zugelassene Domains aktivieren aus.
  4. Geben Sie die Liste der zulässigen Domains an und klicken Sie dann auf Speichern.

gcloud

Im Folgenden finden Sie einige Beispielbefehle zum Angeben zulässiger Domains.

Weitere Informationen zu gcloud iap settings set.

Führen Sie dazu diesen Befehl aus:

gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Wo SETTING_FILE Folgendes ist:

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

Ersetzen Sie Folgendes:

  • FOLDER: die Ordner-ID.
  • ORGANIZATION: Die Organisations-ID.
  • PROJECT: die Projekt-ID
  • RESOURCE_TYPE: Der IAP-Ressourcentyp. Muss app-engine, iap_web, compute, organization oder folder sein.
  • SERVICE: Der Dienstname. Dies ist optional, wenn resource-type den Wert compute oder app-engine hat.
  • VERSION: Der Versionsname. Dies gilt nicht für compute und ist optional, wenn resource-type den Wert app-engine hat.

API

Führen Sie die folgenden Schritte aus, um zulässige Domains zu konfigurieren. Weitere Informationen zum Konfigurieren zulässiger Domains mithilfe der API finden Sie unter IapSettings.

  1. Führen Sie den folgenden Befehl aus, um eine iap_settings.json-Datei vorzubereiten. Aktualisieren Sie die Werte nach Bedarf.
 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }
  1. Rufen Sie den Ressourcennamen mit dem Befehl gcloud iap settings get ab. Kopieren Sie das Namensfeld aus der Ausgabe. Sie benötigen den Namen im nächsten Schritt.
gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]
  1. Ersetzen Sie RESOURCE_NAME im folgenden Befehl durch den Namen aus dem vorherigen Schritt. IapSettings wird aktualisiert.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"

Fehlerbehebung

Problem beim Zugriff auf zulässige Domains
Wenn Sie den Fehlercode 53 erhalten, bitten Sie einen IAP-Administrator, Ihren Hostnamen der Liste der zulässigen Domains hinzuzufügen.