Utiliser des stratégies d'autorisation pour déléguer l'autorisation à l'IAP et à IAM

Cette page explique comment utiliser des règles d'autorisation pour désigner Identity-Aware Proxy (IAP) comme moteur d'autorisation personnalisé dans une règle d'autorisation pour les équilibreurs de charge d'application.

Pour déléguer les autorisations à IAP et Identity and Access Management (IAM), vous autorisez le trafic vers une règle de transfert en fonction IAM ou les identités d'utilisateur final pour les équilibreurs de charge gérés. Vous pouvez ainsi appliquer un contrôle des accès basé sur l'API Play pour vos services backend.

Avant de commencer

Créer la stratégie d'autorisation et activer IAP

Pour créer une règle d'autorisation, vous devez créer un fichier de règles qui définit la cible et les règles, puis activer IAP sur la règle de transfert.

gcloud

  1. Exécutez la commande suivante pour préparer un fichier policy.yaml.
$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF
  1. Exécutez la commande suivante pour activer l'API IAP sur une règle de transfert.
gcloud beta network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Remplacez les éléments suivants :

  • PROJECT_ID : ID de projet Google Cloud.
  • LOCATION : région dans laquelle se trouve la ressource.
  • FORWARDING_RULE_ID: ID de la ressource de règle de transfert.
  • AUTHZ_POLICY_NAME: nom de la règle d'autorisation.

API

  1. Exécutez la commande suivante pour préparer un fichier policy.json.
    cat << EOF > policy.json
    {
    "name": "AUTHZ_POLICY_NAME",
    "target": {
    "loadBalancingScheme": "INTERNAL_MANAGED",
    "resources": [
    "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
    ],
    },
    "action": "CUSTOM",
    "httpRules": [],
    "customProvider": {
    "cloudIap": {}
    }
    }
    EOF
    
  2. Exécutez la commande suivante pour activer l'API IAP sur une règle de transfert.

    curl -X PATCH \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Accept: application/json" \
    -H "Content-Type: application/json" \
    -d @settings.json \
    "https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
    

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de projet Google Cloud.
    • LOCATION : région dans laquelle se trouve la ressource.
    • FORWARDING_RULE_ID: ID de la ressource de règle de transfert.
    • AUTHZ_POLICY_NAME : nom de la stratégie d'autorisation.

Appliquer des autorisations aux ressources

Vous pouvez utiliser l'API IAP pour appliquer IAM autorisations d'accès aux ressources individuelles d'un projet sécurisé par IAP. Les autorisations IAM accordées à un certain niveau s'appliquent à tous les niveaux inférieurs. Par exemple, une autorisation accordée au niveau du projet s'applique à toutes les ressources Google Cloud du projet.

Vous trouverez ci-dessous quelques exemples de commandes permettant de configurer les autorisations. Pour en savoir plus, consultez la section sur gcloud alpha iap web set-iam-policy.

gcloud

Dans les exemples de commandes, remplacez POLICY_FILE par le chemin d'accès à un fichier YAML formaté contenant une stratégie valide. Voici un exemple de fichier YAML :

policy:
  bindings:
    members: user:example@example.com
    role: roles/iap.httpsResourceAccessor

Modifier l'autorisation d'accès à la ressource de règle de transfert

gcloud alpha iap web set-iam-policy POLICY_FILE [--organization=ORGANIZATION \
--folder=FOLDER --project=/PROJECT_ID \
--resource-type=RESOURCE_TYPE --service=SERVICE]

Configurer l'autorisation au niveau de l'organisation

gcloud alpha iap web set-iam-policy POLICY_FILE --organization=ORGANIZATION

Configurer les autorisations au niveau du dossier

gcloud alpha iap web set-iam-policy POLICY_FILE --folder=FOLDER

Configurer l'autorisation au niveau du projet

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=iap_web

Configurer l'autorisation pour toutes les règles de transfert globales d'un projet

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=forwarding_rule

Configurer l'autorisation pour toutes les règles de transfert d'un projet dans une région

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --region=REGION

Configurer l'autorisation d'une règle de transfert globale spécifique dans un projet

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --service=SERVICE

Configurer l'autorisation d'une règle de transfert spécifique dans un projet d'une région

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --service=SERVICE --region=REGION

API

Configurer l'autorisation au niveau de l'organisation

organization/ORGANIZATION

Configurer les autorisations au niveau du dossier

folders/FOLDER

Configurer l'autorisation au niveau du projet

projects/PROJECT_ID

Configurer l'autorisation pour toutes les règles de transfert globales d'un projet

projects/PROJECT_ID/forwarding_rule

Configurer l'autorisation pour toutes les règles de transfert d'un projet dans une région

projects/PROJECT_ID/iap_web/forwarding_rule-REGION

Configurer l'autorisation d'une règle de transfert globale spécifique dans un projet

projects/PROJECT_ID/iap_web/forwarding_rule/services/SERVICE

Configurer l'autorisation pour une règle de transfert spécifique dans un projet dans une région

projects/PROJECT_ID/iap_web/forwarding_rule-REGION/services/SERVICE

Définir la stratégie d'autorisation

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @policy.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"

Pour policy.json, vous pouvez créer le fichier JSON en exécutant la commande suivante : . Mettez à jour les valeurs si nécessaire.

cat << EOF > policy.json
{
  "policy": {
      "bindings": {
            "members": "user:example@example.com",
            "role": "roles/iap.httpsResourceAccessor",
        }
    }
}
EOF