Se usó la API de Cloud Translation para traducir esta página.

Usa políticas de autorización para delegar la autorización a IAP y a IAM

En esta página, se describe cómo usar las políticas de autorización para designar Identity-Aware Proxy (IAP) como el motor de autorización personalizado en una de autorización para los balanceadores de cargas de aplicaciones.

Para delegar la autorización al IAP y a la administración de identidades y accesos (IAM), autorizas el tráfico a una regla de reenvío según IAM o las identidades del usuario final para los balanceadores de cargas administrados. Esto te permite aplicar el control de acceso basado en IAP para tus servicios de backend.

Antes de comenzar

Información sobre las políticas de autorización en la nube.
Asegúrate de que los servicios de backend del que las reglas de reenvío no tienen IAP habilitado. Si los IAP están habilitados, recibirás un error cuando envíes la configuración.
Habilita la API de Network Services.

Crea la política de autorización y habilita IAP

Para crear una política de autorización, debes crear un archivo de política que defina destino y reglas y, luego, habilitar IAP en la regla de reenvío.

gcloud

Ejecuta el siguiente comando para preparar un archivo policy.yaml.

$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF

Ejecuta el siguiente comando para habilitar el IAP en una regla de reenvío.

gcloud beta network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: Es la región en la que se encuentra el recurso.
FORWARDING_RULE_ID: El ID del recurso de regla de reenvío.
AUTHZ_POLICY_NAME: Es el nombre de la política de autorización.

API

Ejecuta el siguiente comando para preparar un archivo policy.json.

cat << EOF > policy.json
{
"name": "AUTHZ_POLICY_NAME",
"target": {
"loadBalancingScheme": "INTERNAL_MANAGED",
"resources": [
"https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
],
},
"action": "CUSTOM",
"httpRules": [],
"customProvider": {
"cloudIap": {}
}
}
EOF

Ejecuta el siguiente comando para habilitar IAP en una regla de reenvío.
```
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
```
Reemplaza lo siguiente:
- PROJECT_ID: El ID del proyecto de Google Cloud.
- LOCATION: Es la región en la que se encuentra el recurso.
- FORWARDING_RULE_ID: El ID del recurso de regla de reenvío.
- AUTHZ_POLICY_NAME: Es el nombre de la política de autorización.

Aplica permisos a los recursos

Puedes usar la API de IAP para aplicar IAM permisos a recursos individuales en un proyecto protegido con IAP. Los permisos de IAM otorgados en un nivel determinado se aplican a todas las niveles inferiores. Por ejemplo, un permiso otorgado a nivel de proyecto se aplica a todos los recursos de Google Cloud del proyecto.

A continuación, se incluyen algunos comandos de ejemplo para configurar permisos. Para obtener más información, consulta gcloud alpha iap web set-iam-policy:

gcloud

En los comandos de ejemplo, reemplaza POLICY_FILE por la ruta a un archivo YAML archivo con formato que contenga una política válida. El siguiente es un ejemplo de archivo YAML:

policy:
  bindings:
    members: user:example@example.com
    role: roles/iap.httpsResourceAccessor

Actualiza el permiso de quién puede acceder al recurso de la regla de reenvío

gcloud alpha iap web set-iam-policy POLICY_FILE [--organization=ORGANIZATION \
--folder=FOLDER --project=/PROJECT_ID \
--resource-type=RESOURCE_TYPE --service=SERVICE]

Configura el permiso a nivel de la organización

gcloud alpha iap web set-iam-policy POLICY_FILE --organization=ORGANIZATION

Configura permisos a nivel de la carpeta

gcloud alpha iap web set-iam-policy POLICY_FILE --folder=FOLDER

Configura el permiso a nivel del proyecto

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=iap_web

Configurar permisos para todas las reglas de reenvío globales de un proyecto

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=forwarding_rule

Configura los permisos para todas las reglas de reenvío de un proyecto en una región

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --region=REGION

Configura el permiso para una regla de reenvío global específica en un proyecto

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --service=SERVICE

Configura el permiso para una regla de reenvío específica en un proyecto de una región

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --service=SERVICE --region=REGION

API