Cette page a été traduite par l'API Cloud Translation.

Utiliser des stratégies d'autorisation pour déléguer l'autorisation à l'IAP et à IAM

Cette page explique comment utiliser des règles d'autorisation pour désigner Identity-Aware Proxy (IAP) comme moteur d'autorisation personnalisé dans une règle d'autorisation pour les équilibreurs de charge d'application.

Pour déléguer les autorisations à IAP et Identity and Access Management (IAM), vous autorisez le trafic vers une règle de transfert en fonction IAM ou les identités d'utilisateur final pour les équilibreurs de charge gérés. Vous pouvez ainsi appliquer un contrôle des accès basé sur l'API Play pour vos services backend.

Avant de commencer

Comprendre les concepts des stratégies d'autorisation
Assurez-vous que l'IAP n'est pas activé pour les services backend des règles de transfert. Si IAP est activé, vous recevez un message d'erreur lors de l'envoi de votre configuration.
Activez l'API Network Services.

Créer la stratégie d'autorisation et activer IAP

Pour créer une règle d'autorisation, vous devez créer un fichier de règles qui définit la cible et les règles, puis activer IAP sur la règle de transfert.

gcloud

Exécutez la commande suivante pour préparer un fichier policy.yaml.

$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF

Exécutez la commande suivante pour activer l'API IAP sur une règle de transfert.

gcloud beta network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Remplacez les éléments suivants :

PROJECT_ID : ID de projet Google Cloud.
LOCATION : région dans laquelle se trouve la ressource.
FORWARDING_RULE_ID: ID de la ressource de règle de transfert.
AUTHZ_POLICY_NAME: nom de la règle d'autorisation.

API

Exécutez la commande suivante pour préparer un fichier policy.json.

cat << EOF > policy.json
{
"name": "AUTHZ_POLICY_NAME",
"target": {
"loadBalancingScheme": "INTERNAL_MANAGED",
"resources": [
"https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
],
},
"action": "CUSTOM",
"httpRules": [],
"customProvider": {
"cloudIap": {}
}
}
EOF

Exécutez la commande suivante pour activer l'API IAP sur une règle de transfert.
```
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
```
Remplacez les éléments suivants :
- PROJECT_ID : ID de projet Google Cloud.
- LOCATION : région dans laquelle se trouve la ressource.
- FORWARDING_RULE_ID: ID de la ressource de règle de transfert.
- AUTHZ_POLICY_NAME : nom de la stratégie d'autorisation.

Appliquer des autorisations aux ressources

Vous pouvez utiliser l'API IAP pour appliquer IAM autorisations d'accès aux ressources individuelles d'un projet sécurisé par IAP. Les autorisations IAM accordées à un certain niveau s'appliquent à tous les niveaux inférieurs. Par exemple, une autorisation accordée au niveau du projet s'applique à toutes les ressources Google Cloud du projet.

Vous trouverez ci-dessous quelques exemples de commandes permettant de configurer les autorisations. Pour en savoir plus, consultez la section sur gcloud alpha iap web set-iam-policy.

gcloud

Dans les exemples de commandes, remplacez POLICY_FILE par le chemin d'accès à un fichier YAML formaté contenant une stratégie valide. Voici un exemple de fichier YAML :

policy:
  bindings:
    members: user:example@example.com
    role: roles/iap.httpsResourceAccessor

Modifier l'autorisation d'accès à la ressource de règle de transfert

gcloud alpha iap web set-iam-policy POLICY_FILE [--organization=ORGANIZATION \
--folder=FOLDER --project=/PROJECT_ID \
--resource-type=RESOURCE_TYPE --service=SERVICE]

Configurer l'autorisation au niveau de l'organisation

gcloud alpha iap web set-iam-policy POLICY_FILE --organization=ORGANIZATION

Configurer les autorisations au niveau du dossier

gcloud alpha iap web set-iam-policy POLICY_FILE --folder=FOLDER

Configurer l'autorisation au niveau du projet

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=iap_web

Configurer l'autorisation pour toutes les règles de transfert globales d'un projet

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=forwarding_rule

Configurer l'autorisation pour toutes les règles de transfert d'un projet dans une région

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --region=REGION

Configurer l'autorisation d'une règle de transfert globale spécifique dans un projet

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --service=SERVICE

Configurer l'autorisation d'une règle de transfert spécifique dans un projet d'une région

gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --service=SERVICE --region=REGION

API