Práticas recomendadas

Veja nesta página as práticas recomendadas para usar o Identity-Aware Proxy (IAP).

Armazenamento em cache

  • Não use um CDN de terceiros na frente do aplicativo. Os CDNs podem armazenar conteúdo em cache e disponibilizar páginas armazenadas em cache para usuários não autenticados.
    • Se você tiver recursos grandes e não confidenciais para disponibilizar a partir de um CDN, use um domínio separado para esses recursos, como images.yourapp.com. Use o CDN com esse domínio e adicione o cabeçalho de resposta HTTP Cache-control: private a todos os objetos que precisam ser disponibilizados somente aos usuários autenticados.

Como proteger seu app

Para proteger seu app adequadamente, você precisa usar cabeçalhos assinados para aplicativos do ambiente flexível do App EngineBeta, do Compute Engine e do GKE. Os cabeçalhos assinados não são compatíveis com aplicativos do ambiente padrão do App Engine. Em vez disso, esses aplicativos precisam usar a abordagem descrita em Como conseguir a identidade do usuário. Leia sobre como proteger seu app com cabeçalhos assinados.

Como configurar o firewall

  • Verifique se todas as solicitações para o Compute Engine ou para o GKE são encaminhadas por meio do balanceador de carga:
  • No Console do Cloud, o IAP exibirá um erro ou aviso se as regras de firewall parecerem estar configuradas incorretamente. Ele não detecta qual VM é usada para cada serviço. Portanto, essa análise não inclui recursos avançados, como redes não padrão e tags de regra de firewall. Para ignorar essa análise, ative o IAP por meio do comando gcloud compute backend-services update.