IAP für Cloud Run aktivieren

Auf dieser Seite wird erläutert, wie Sie einen Cloud Run-Dienst mit Identity-Aware Proxy (IAP) sichern.

Bekannte Einschränkungen

  • IAP sichert nicht die Domain, die Cloud Run für einen bereitgestellten Dienst bereitstellt. Damit nur IAP auf den Dienst zugreifen kann, verwenden Sie die IAM-Authentifizierung für den Cloud Run-Dienst. Damit IAP auf den Cloud Run-Dienst zugreifen kann, weisen Sie dem IAP-Dienstkonto die Rolle service-[PROJECT_NUMBER]@gcp-sa-iap.iam.gserviceaccount.com mit der Rolle „Cloud Run Invoker“ zu. IAP generiert ein ID-Token und authentifiziert sich damit über den Header X-Serverless-Authorization bei Cloud Run.

  • IAP authentifiziert sich mit dem Header X-Serverless-Authorization bei Cloud Run. Cloud Run übergibt diesen Header an Ihren Dienst, nachdem die Signatur entfernt wurde. Wenn Ihr Dienst die Anfrage an einen anderen Cloud Run-Dienst weiterleitet, für den eine IAM-Authentifizierung erforderlich ist, aktualisieren Sie Ihren Dienst, um diese Kopfzeile zuerst zu entfernen.

  • IAP ist nicht mit Cloud CDN kompatibel.

Hinweise

Zum Aktivieren von IAP für Cloud Run benötigen Sie Folgendes:

IAP verwendet einen von Google verwalteten OAuth-Client, um Nutzer zu authentifizieren. Nur Nutzer innerhalb der Organisation können auf die IAP-kompatible App zugreifen. Wenn Sie Nutzern außerhalb Ihrer Organisation Zugriff gewähren möchten, lesen Sie den Hilfeartikel IAP für externe Anwendungen aktivieren.

IAP aktivieren

Console

Der von Google verwaltete OAuth-Client ist nicht verfügbar, wenn Sie IAP über die Google Cloud Console aktivieren.

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts noch nicht konfiguriert haben, werden Sie dazu aufgefordert. Eine Anleitung dazu finden Sie unter OAuth-Zustimmungsbildschirm einrichten.

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Aktivieren Sie unter APPLICATIONS (ANWENDUNGEN) das Kästchen neben dem Load Balancer-Back-End-Dienst, dem Sie Mitglieder hinzufügen möchten.
  4. Klicken Sie auf der rechten Seite auf Mitglied hinzufügen.

  5. Geben Sie im Dialogfeld Mitglieder hinzufügen die Konten von Gruppen oder Einzelpersonen ein, denen Sie für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zuweisen möchten. Folgende Kontoarten sind als Mitglieder zulässig:

    • Google-Konto: nutzer@gmail.com. Dies kann auch ein Google Workspace-Konto sein, z. B. nutzer@google.com oder eine andere Workspace-Domain.
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@beispiel.iam.gserviceaccount.com
    • Google Workspace-Domain: beispiel.de

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.

  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der IAP-Seite unter APPLICATIONS (ANwendungen) nach dem Load Balancer-Backenddienst, für den Sie den Zugriff einschränken möchten. Klicken Sie auf den Schalter IAP, um IAP für eine Ressource zu aktivieren. So aktivieren Sie IAP:
    • Mindestens ein Protokoll in der Load-Balancer-Frontend-Konfiguration muss HTTPS sein. Weitere Informationen dazu finden Sie unter Lastenausgleichsmodul einrichten.
    • Sie benötigen die Berechtigungen compute.backendServices.update, clientauthconfig.clients.create und clientauthconfig.clients.getWithSecret. Diese Berechtigungen erhalten Sie über Rollen wie etwa "Projektbearbeiter". Weitere Informationen finden Sie unter Zugriff auf Ressourcen verwalten, die mit IAP gesichert sind.
  2. Klicken Sie im angezeigten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass die Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Konten mit der Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt.

  3. Folgen Sie der Anleitung unter Zugriffssteuerung mit IAM, um IAP zu autorisieren, Traffic an den Cloud Run-Backenddienst zu senden.

    • Leiter: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
    • Rolle: Cloud Run Invoker

gcloud

  1. Falls Sie noch kein Dienstkonto haben, erstellen Sie eines mit dem folgenden Befehl. Wenn Sie bereits ein Dienstkonto erstellt haben, werden durch Ausführen des Befehls keine doppelten Dienstkonten erstellt. 
    gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
  2. Gewähren Sie dem Dienstkonto, das Sie im vorherigen Schritt erstellt haben, die Berechtigung „Aufrufer“. Führen Sie dazu den folgenden Befehl aus. 
    gcloud run services add-iam-policy-binding [SERVICE-NAME] \
--member='serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com'  \
--role='roles/run.invoker'

  3. Aktivieren Sie IAP, indem Sie den Befehl entweder global oder regional ausführen, je nachdem, ob der Load Balancer-Backenddienst global oder regional ist. Verwenden Sie die OAuth-Client-ID und das Secret aus dem vorherigen Schritt.

    Globaler Geltungsbereich 

    gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled

    Regionaler Geltungsbereich 

    gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
    Ersetzen Sie Folgendes:

    • BACKEND_SERVICE_NAME ist der Name des Backend-Dienstes.
    • REGION_NAME: die Region, in der Sie IAP aktivieren möchten.

Nachdem Sie IAP aktiviert haben, können Sie mit der Google Cloud CLI eine IAP-Zugriffsrichtlinie mithilfe der Identity and Access Management-Rolle roles/iap.httpsResourceAccessor bearbeiten. Weitere Informationen finden Sie unter Rollen und Berechtigungen verwalten.

Cloud Run so konfigurieren, dass der Zugriff eingeschränkt wird

Sie können Ihren Cloud Run-Dienst so konfigurieren, dass nur der Zugriff für interne Clients und den externen Load Balancer zugelassen wird. Dadurch werden alle direkten Anfragen aus dem öffentlichen Internet blockiert.

Folgen Sie der Anleitung unter Ingress für Cloud Run einschränken, um die Ingress-Einstellung Ihres Cloud Run-Dienstes auf Intern und Cloud Load Balancing zu konfigurieren.

Fehlerbehebung

 The IAP service account is not provisioned
Dieser Fehler tritt auf, wenn Sie versuchen, IAP für einen Cloud Run-Dienst über die gcloud CLI zu aktivieren. Wenn Sie IAP über die gcloud CLI einrichten, müssen Sie zusätzlich ein IAP-Dienstkonto in Ihrem Projekt mit dem folgenden Befehl bereitstellen: gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID] 
 Your client does not have permission to get URL from this server

  • IAP verwendet die Berechtigungen des IAP-Dienstkontos, um Ihren Cloud Run-Dienst aufzurufen. Achten Sie darauf, dass Sie dem folgenden Dienstkonto die Rolle „Cloud Run-Aufrufer“ (service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com) zugewiesen haben.

  • Wenn Sie dem vorherigen Dienstkonto die Rolle „Cloud Run Invoker“ erteilt haben und das Problem weiterhin auftritt, stellen Sie Ihren Cloud Run-Dienst neu bereit.

Das IAP-Dienstkonto benötigt keine run.routes.invoke-Berechtigung

Während der IAP-mit-Cloud Run-Vorabversion führte Cloud Run keine run.routes.invoke-Berechtigungsprüfung für Aufrufe von IAP durch, bei denen die Rolle „Cloud Run Invoker“ verwendet wurde. Seit der GA-Version (General Availability, allgemeine Verfügbarkeit) führt Cloud Run diese Berechtigungsprüfung durch.

Um fehlerhafte Änderungen zu vermeiden, wurden einige Kundenprojekte, die während der Vorabversion auf dieses Verhalten angewiesen waren, auf eine Zulassungsliste gesetzt, damit die Berechtigung nicht geprüft wurde. Wenden Sie sich an den Cloud Run-Support, um solche Projekte von der Zulassungsliste für die Vorabversion zu entfernen.

Nächste Schritte

Eine Terraform-Beispieldatei für die Einrichtung von IAP für Cloud Run mit Terraform finden Sie in diesem Artikel.