Guía de inicio rápido para App Engine

En esta página, se te explicará cómo implementar una aplicación de App Engine en un entorno estándar o flexible y cómo protegerla con Cloud Identity-Aware Proxy (Cloud IAP). La guía de inicio rápido incluye un código de muestra para una aplicación web de entorno estándar de App Engine, que verifica el nombre de un usuario que accedió a ella. Esta guía de inicio rápido usa Cloud Shell para clonar y también implementar la aplicación de muestra. Puedes usarla a fin de habilitar Cloud IAP para tu propio entorno estándar de App Engine o para el entorno flexible de una aplicación de App Engine.

Si tienes pensado publicar recursos desde una red de entrega de contenido (CDN), consulta la guía de recomendaciones para obtener información importante.

Antes de comenzar

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. Select or create a Google Cloud Platform project.

    Go to the Manage resources page

  3. Comprueba que la facturación esté habilitada en tu proyecto.

    Descubre cómo puedes habilitar la facturación

Inicio de Cloud Shell

  1. Haz clic en Activar Cloud Shell en la parte superior de la ventana de la consola. Activar Cloud Shell

    Se abrirá una sesión de Cloud Shell en un marco nuevo en la parte inferior de la consola, que mostrará una línea de comandos. La sesión de shell puede tardar unos segundos en inicializarse.

    Sesión de Cloud Shell
  2. Ingresa lo siguiente en Cloud Shell para mostrar los ID de tus proyectos:
    gcloud projects list
  3. Ejecuta el siguiente comando para establecer el proyecto predeterminado, en el que YOUR-PROJECT-ID es el ID del proyecto que deseas usar en este inicio rápido:
    gcloud config set project YOUR-PROJECT-ID

Obtención del código de muestra

  1. Ingresa el siguiente comando en Cloud Shell para obtener la aplicación de muestra:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
    
  2. Ve al directorio que contiene el código de muestra:

    cd python-docs-samples/appengine/standard/users/
    

Implementación de la aplicación

  1. Usa gcloud para implementar la aplicación en App Engine:
    gcloud app deploy
  2. Se muestra target url: en el formato https://YOUR_PROJECT_ID.appspot.com. Para acceder a tu aplicación, navega a esa URL en tu navegador web.

Habilitación de Cloud IAP

Selección de un proyecto

  1. Ve a la página de Identity-Aware Proxy.
    Ir a la página de Identity-Aware Proxy
  2. Si aún no tienes un proyecto activo, se te solicitará seleccionar el proyecto que deseas proteger con Cloud IAP. Selecciona el proyecto en el que implementaste la aplicación de muestra.

Configuración de la pantalla de consentimiento de OAuth

Si aún no has configurado la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo: Para ello, necesitarás una dirección de correo electrónico y el nombre del producto.

  1. Ve a la pantalla de consentimiento de OAuth.
    Configurar pantalla de consentimiento
  2. En Dirección de correo electrónico, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. Esta debe ser tu dirección de correo electrónico o un grupo de Google que te pertenezca.
  3. Ingresa el nombre del producto que deseas mostrar.
  4. Agrega cualquier otra información opcional que desees mostrar.
  5. Haz clic en Guardar.

Para modificar más tarde la información de la pantalla de consentimiento de OAuth, como el nombre del producto o la dirección de correo electrónico, repite los pasos anteriores para configurar esa pantalla.

Configuración del acceso a Cloud IAP

  1. Ve a la página de Identity-Aware Proxy.
    Ir a la página de Identity-Aware Proxy
  2. En el panel de la derecha, junto a Acceso, haz clic en Agregar.
  3. En el cuadro de diálogo Agregar miembros que aparece, agrega las direcciones de correo electrónico de los grupos o personas a quienes deseas otorgar la función de Usuario de app web protegida con IAP para el proyecto.

    Los miembros pueden ser:

    • Cuentas de Google: user@gmail.com
    • Grupos de Google: admins@googlegroups.com
    • Cuentas de servicio: server@example.gserviceaccount.com
    • Dominios de G Suite: example.com

    Asegúrate de agregar una Cuenta de Google a la que tengas acceso.

  4. Cuando hayas terminado de agregar miembros haz clic en Agregar.

Activación de Cloud IAP

  1. En la página de Identity-Aware Proxy, en Recursos, busca la aplicación App Engine a la que deseas restringir el acceso. La columna Publicado muestra la URL de la aplicación. Para activar Cloud IAP en la aplicación, haz clic en Apagado en la columna IAP.
  2. En la ventana Activar IAP que aparece, enumera todos los dominios utilizados para acceder al recurso.
    • Verifica que el dominio agregado automáticamente coincida con el dominio appspot.com en donde esperas entregar tu aplicación.
    • Asegúrate de incluir versiones de App Engine distintas a las predeterminadas, como test-dot-app_name.appspot.com si quieres usarlas para acceder a la aplicación.
  3. Para confirmar que deseas proteger la aplicación con Cloud IAP, haz clic en Activar. Después de activarla, Cloud IAP solicita credenciales de acceso a todas las conexiones a tu aplicación, y, en este proyecto, solo se dará acceso a las cuentas con la función Usuario de aplicación web protegida por IAP.

Prueba de acceso

  1. Accede a la URL de la aplicación desde la Cuenta de Google que agregaste a Cloud IAP. Deberías tener un acceso ilimitado a la aplicación.

  2. A continuación, usa una ventana de incógnito en Chrome para acceder a la aplicación y, cuando se te solicite hacerlo, ingresar a ella. Si intentas acceder a la aplicación con una cuenta que no está autorizada, verás el mensaje No tiene acceso.

¿Qué sigue?

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Identity-Aware Proxy