Zur Verbesserung der allgemeinen Sicherheit verweigert IAP standardmäßig den Zugriff auf Anfragen, die keine passende Server Name Indication (SNI) haben. So kann IAP die URL-Weiterleitung auf schädliche Domains beschränken. Das Feature für IAP-Domains bietet eine zusätzliche Sicherheitsebene für Ihre IAP-geschützten Ressourcen. Als Ressourceninhaber oder IAP-Administrator können Sie den Zugriff auf IAP-geschützte Ressourcen auf bestimmte Domains beschränken. Dazu konfigurieren Sie das Feature für zulässige Domains.
In den folgenden Szenarien können Sie für IAP zulässige Domains konfigurieren:
- Ihr Browser oder ein zwischengeschalteter Proxy erzwingt das Verbindungs-Pooling: In diesem Szenario erhalten Sie die HTTP-Antwort 429 und den Fehlercode
51. Um das Problem zu beheben, kann ein IAP-Administrator die Liste der zulässigen Domains so aktualisieren, dass Ihr Hostname enthalten ist. - Der angegebene Hostname stimmt nicht mit dem SSL-Zertifikat auf dem Server überein: In diesem Szenario erhalten Sie den Fehlercode
52. Um das Problem zu beheben, kann ein IAP-Administrator die Liste der zulässigen Domains so aktualisieren, dass Ihr Hostname enthalten ist.
Zulässige Domains konfigurieren
Sie können gcloud oder die API verwenden, um die Einstellungen für zulässige Domains zu konfigurieren. Verwenden Sie die folgenden Felder, um zulässige Domains zu konfigurieren:
enable: Boolesch. Aktiviert oder deaktiviert die Funktion „Zugelassene Domains“.Domains: String. Die Liste der zulässigen Domains. Die Domains dürfen Platzhalterpräfixe enthalten, z. B.*.abc.com.. Domainnamen dürfen nicht direkt bei einem öffentlichen Suffix oder auf einer Top-Level-Domain einen Platzhalter enthalten. Beispiel:*.com,*.co.in.
Weitere Informationen finden Sie unter IapSettings.
Führen Sie die folgenden Schritte aus, um für IAP zulässige Domains zu konfigurieren:
gcloud
Sie können zulässige Ressourcen für Ressourcen und Dienste auf Organisations-, Projekt- und Ordnerebene angeben. Im Folgenden finden Sie einige Beispielbefehle zum Festlegen zulässiger Domains.
Weitere Informationen finden Sie unter gcloud iap settings set.
Führen Sie dazu diesen Befehl aus:
gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
Führen Sie den folgenden Befehl aus, um zulässige Domains innerhalb einer Organisation festzulegen:
gcloud iap settings set SETTING_FILE --organization=ORGANIZATION
Führen Sie den folgenden Befehl aus, um zulässige Domains für die Ressourcen in einem Ordner festzulegen:
gcloud iap settings set SETTING_FILE --folder=FOLDER
Führen Sie den folgenden Befehl aus, um zulässige Domains für alle Webtypressourcen in einem Projekt festzulegen:
gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web
Führen Sie den folgenden Befehl aus, um zulässige Domains für alle App Engine-Dienste innerhalb eines Projekts festzulegen:
gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE
Wo SETTING_FILE Folgendes ist:
{
"access_settings": {
"allowed_domains_settings": {
"enable": true,
"domains": [
"*.abc.com",
"*.xyz.co.in"
]
}
}
}
Dabei gilt:
- FOLDER: Die Ordner-ID.
- ORGANIZATION: Die Organisations-ID.
- PROJECT: die Projekt-ID
- RESOURCE_TYPE: Der IAP-Ressourcentyp. Muss
app-engine,iap_web,compute,organizationoderfoldersein. - SERVICE: Der Dienstname. Das ist optional, wenn
resource-typeden Wertcomputeoderapp-enginehat. - VERSION: Der Versionsname. Dies gilt nicht für
computeund ist optional, wennresource-typeden Wertapp-enginehat.
API
Führen Sie die folgenden Schritte aus, um zulässige Domains zu konfigurieren. Weitere Informationen zur Verwendung der API zum Konfigurieren zulässiger Domains finden Sie unter IapSettings.
Erstellen Sie eine JSON-Datei mit zulässigen Domaineinstellungen mit Feldmaske. Beispiel für JSON-
SETTING_FILE:{ "iap_settings":{ "value":{ "access_settings":{ "allowed_domains_settings":{ "enable":{ "value":"True" }, "domains":{ "value":[ "*.abc.com", "*.xyz.co.in" ] } } } } }, "update_mask":{ "value":"iap_settings.access_settings.allowed_domains_settings" } }Führen Sie den folgenden Befehl aus, um die
UpdateIAPSettingsAPI zum Hinzufügen zulässiger Domaineinstellungen zu verwenden.curl -i -H "Content-Type:application/json"
-H "Authentication: Bearer $(gcloud auth print-access-token)" IAP_URL
-d SETTINGS_FILE.JSON
Verwenden Sie die folgende URL, um die Einstellungen für die zulässigen Domains für alle Ressourcen in einer Organisation festzulegen: https://iap.googleapis.com/v1/organization/ORGANIZATION_ID:iapsettings
Verwenden Sie die folgende URL, um zulässige Domaineinstellungen für alle Ressourcen in einem Ordner festzulegen:
https://iap.googleapis.com/v1/folder/FOLDER_ID:iapsettings
Verwenden Sie die folgende URL, um zulässige Domaineinstellungen für alle Webressourcen in einem Projekt festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web:iapsettings
Verwenden Sie die folgende URL, um Einstellungen für zulässige Domains für alle App Engine-Ressourcen in einem Projekt festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/appengine-APP_ID:iapsettings
Verwenden Sie die folgende URL, um Einstellungen für zulässige Domains für eine App Engine-Dienstversion innerhalb eines Projekts festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/appengine-APP_ID/services/APP_SERVICE_ID/versions/VERSION_ID:iapsettings
Verwenden Sie die folgende URL, um die Einstellungen für zulässige Domains für alle Compute Engine-Ressourcen in einem Projekt festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/compute:iapsettings
Verwenden Sie die folgende URL, um die Einstellungen für zulässige Domains für eine Compute Engine-Ressource innerhalb eines Projekts festzulegen: https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/compute/services/BACKEND_SERVICE_ID:iapsettings
Fehlerbehebung
Probleme mit dem Zugriff auf zulässige Domains
Wenn Sie den Fehlercode 53 erhalten, bitten Sie einen IAP-Administrator, Ihren Hostnamen zur Liste der zulässigen Domains hinzuzufügen.