Ressourcenzugriff auf bestimmte Domains beschränken

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Zur Verbesserung der allgemeinen Sicherheit verweigert IAP standardmäßig den Zugriff auf Anfragen, die keine passende Server Name Indication (SNI) haben. So kann IAP die URL-Weiterleitung auf schädliche Domains beschränken. Das Feature für IAP-Domains bietet eine zusätzliche Sicherheitsebene für Ihre IAP-geschützten Ressourcen. Als Ressourceninhaber oder IAP-Administrator können Sie den Zugriff auf IAP-geschützte Ressourcen auf bestimmte Domains beschränken. Dazu konfigurieren Sie das Feature für zulässige Domains.

In den folgenden Szenarien können Sie für IAP zulässige Domains konfigurieren:

  • Ihr Browser oder ein zwischengeschalteter Proxy erzwingt das Verbindungs-Pooling: In diesem Szenario erhalten Sie die HTTP-Antwort 429 und den Fehlercode 51. Um das Problem zu beheben, kann ein IAP-Administrator die Liste der zulässigen Domains so aktualisieren, dass Ihr Hostname enthalten ist.
  • Der angegebene Hostname stimmt nicht mit dem SSL-Zertifikat auf dem Server überein: In diesem Szenario erhalten Sie den Fehlercode 52. Um das Problem zu beheben, kann ein IAP-Administrator die Liste der zulässigen Domains so aktualisieren, dass Ihr Hostname enthalten ist.

Zulässige Domains konfigurieren

Sie können gcloud oder die API verwenden, um die Einstellungen für zulässige Domains zu konfigurieren. Verwenden Sie die folgenden Felder, um zulässige Domains zu konfigurieren:

  • enable: Boolesch. Aktiviert oder deaktiviert die Funktion „Zugelassene Domains“.
  • Domains: String. Die Liste der zulässigen Domains. Die Domains dürfen Platzhalterpräfixe enthalten, z. B. *.abc.com.. Domainnamen dürfen nicht direkt bei einem öffentlichen Suffix oder auf einer Top-Level-Domain einen Platzhalter enthalten. Beispiel: *.com, *.co.in.

Weitere Informationen finden Sie unter IapSettings.

Führen Sie die folgenden Schritte aus, um für IAP zulässige Domains zu konfigurieren:

gcloud

Sie können zulässige Ressourcen für Ressourcen und Dienste auf Organisations-, Projekt- und Ordnerebene angeben. Im Folgenden finden Sie einige Beispielbefehle zum Festlegen zulässiger Domains.

Weitere Informationen finden Sie unter gcloud iap settings set.

Führen Sie dazu diesen Befehl aus:

gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Führen Sie den folgenden Befehl aus, um zulässige Domains innerhalb einer Organisation festzulegen:

gcloud iap settings set SETTING_FILE --organization=ORGANIZATION

Führen Sie den folgenden Befehl aus, um zulässige Domains für die Ressourcen in einem Ordner festzulegen:

gcloud iap settings set SETTING_FILE --folder=FOLDER

Führen Sie den folgenden Befehl aus, um zulässige Domains für alle Webtypressourcen in einem Projekt festzulegen:

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web

Führen Sie den folgenden Befehl aus, um zulässige Domains für alle App Engine-Dienste innerhalb eines Projekts festzulegen:

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE

Wo SETTING_FILE Folgendes ist:

{
  "access_settings": {
      "allowed_domains_settings": {
          "enable": true,
          "domains": [
              "*.abc.com",
              "*.xyz.co.in"
          ]
      }
  }
}

Dabei gilt:

  • FOLDER: Die Ordner-ID.
  • ORGANIZATION: Die Organisations-ID.
  • PROJECT: die Projekt-ID
  • RESOURCE_TYPE: Der IAP-Ressourcentyp. Muss app-engine, iap_web, compute, organization oder folder sein.
  • SERVICE: Der Dienstname. Das ist optional, wenn resource-type den Wert compute oder app-engine hat.
  • VERSION: Der Versionsname. Dies gilt nicht für compute und ist optional, wenn resource-type den Wert app-engine hat.

API

Führen Sie die folgenden Schritte aus, um zulässige Domains zu konfigurieren. Weitere Informationen zur Verwendung der API zum Konfigurieren zulässiger Domains finden Sie unter IapSettings.

  1. Erstellen Sie eine JSON-Datei mit zulässigen Domaineinstellungen mit Feldmaske. Beispiel für JSON-SETTING_FILE:

    {
       "iap_settings":{
          "value":{
             "access_settings":{
                "allowed_domains_settings":{
                   "enable":{
                      "value":"True"
                   },
                   "domains":{
                      "value":[
                         "*.abc.com",
                         "*.xyz.co.in"
                      ]
                   }
                }
             }
          }
       },
       "update_mask":{
          "value":"iap_settings.access_settings.allowed_domains_settings"
       }
    }
    
  2. Führen Sie den folgenden Befehl aus, um die UpdateIAPSettings API zum Hinzufügen zulässiger Domaineinstellungen zu verwenden.

    curl -i -H "Content-Type:application/json" 
    -H "Authentication: Bearer $(gcloud auth print-access-token)" IAP_URL
    -d SETTINGS_FILE.JSON

Verwenden Sie die folgende URL, um die Einstellungen für die zulässigen Domains für alle Ressourcen in einer Organisation festzulegen: https://iap.googleapis.com/v1/organization/ORGANIZATION_ID:iapsettings

Verwenden Sie die folgende URL, um zulässige Domaineinstellungen für alle Ressourcen in einem Ordner festzulegen: https://iap.googleapis.com/v1/folder/FOLDER_ID:iapsettings

Verwenden Sie die folgende URL, um zulässige Domaineinstellungen für alle Webressourcen in einem Projekt festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web:iapsettings

Verwenden Sie die folgende URL, um Einstellungen für zulässige Domains für alle App Engine-Ressourcen in einem Projekt festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/appengine-APP_ID:iapsettings

Verwenden Sie die folgende URL, um Einstellungen für zulässige Domains für eine App Engine-Dienstversion innerhalb eines Projekts festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/appengine-APP_ID/services/APP_SERVICE_ID/versions/VERSION_ID:iapsettings

Verwenden Sie die folgende URL, um die Einstellungen für zulässige Domains für alle Compute Engine-Ressourcen in einem Projekt festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/compute:iapsettings

Verwenden Sie die folgende URL, um die Einstellungen für zulässige Domains für eine Compute Engine-Ressource innerhalb eines Projekts festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/compute/services/BACKEND_SERVICE_ID:iapsettings

Fehlerbehebung

Probleme mit dem Zugriff auf zulässige Domains
Wenn Sie den Fehlercode 53 erhalten, bitten Sie einen IAP-Administrator, Ihren Hostnamen zur Liste der zulässigen Domains hinzuzufügen.