En esta página, se explica cómo proteger un servicio de Cloud Run con Identity-Aware Proxy (IAP).
Limitaciones conocidas
La IAP no protege el dominio que proporciona Cloud Run para un servicio implementado. Para garantizar que solo el IAP tenga permiso para acceder al servicio, usa la autenticación de IAM en el servicio de Cloud Run. Para permitir que IAP acceda al servicio de Cloud Run, otorga el rol
service-[PROJECT_NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
de la cuenta de servicio de IAP con el rol de invocador de Cloud Run. El IAP genera un token de ID y lo usa para autenticarse en Cloud Run con el encabezadoX-Serverless-Authorization
.IAP se autentica en Cloud Run con el encabezado
X-Serverless-Authorization
. Cloud Run pasa este encabezado a tu servicio después de quitar su firma. Si tu servicio está diseñado para reenviar la solicitud a otro servicio de Cloud Run que requiere autenticación de IAM, actualiza tu servicio para quitar primero este encabezado.IAP no es compatible con Cloud CDN.
Antes de comenzar
Para habilitar IAP para Cloud Run, necesitas lo siguiente:
- Un proyecto de la consola de Google Cloud con la facturación habilitada
- Un grupo de uno o más servicios de Cloud Run, entregados por un balanceador de cargas
- Obtén información sobre cómo configurar un balanceador de cargas HTTPS externo.
- Obtén información para configurar un balanceador de cargas HTTPS interno.
- Un nombre de dominio registrado con la dirección de tu balanceador de cargas
- Un código de aplicación para verificar que todas las solicitudes tengan una identidad
- Aprender cómo obtener la identidad del usuario
IAP usa un cliente de OAuth administrado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.
Habilita IAP
Console
El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la consola de Google Cloud .
Si aún no has configurado la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo. Para configurar la pantalla de consentimiento de OAuth, consulta Configura la pantalla de consentimiento de OAuth.
Configura el acceso de IAP
- Ve a la página Identity-Aware Proxy.
- Selecciona el proyecto que deseas proteger con IAP.
- En APPLICATIONS, selecciona la casilla de verificación junto al servicio de backend del balanceador de cargas al que deseas agregar miembros.
- En el panel de la derecha, haz clic en Agregar miembro.
En el cuadro de diálogo Agregar miembros, ingresa las cuentas de los grupos o personas que deben tener el rol Usuario de app web protegida con IAP para el proyecto. Las siguientes cuentas pueden ser miembros:
- Cuenta de Google: usuario@gmail.com. También puede ser una cuenta de Google Workspace, como usuario@google.com o algún otro dominio de Workspace.
- Grupo de Google: administradores@googlegroups.com
- Cuenta de servicio: servidor@ejemplo.iam.gserviceaccount.com
- Dominio de Google Workspace: example.com
En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de aplicación web protegida con IAP.
Haz clic en Guardar.
Activa IAP
- En la página de IAP, en APLICACIONES, busca el servicio de backend del balanceador de cargas al que deseas restringir el acceso. Para activar IAP para un recurso, haz clic en el botón de activación IAP.
Para habilitar IAP, haz lo siguiente:
- Al menos un protocolo en la configuración del frontend del balanceador de cargas debe ser HTTPS. Obtén información para configurar un balanceador de cargas.
- Necesitas los permisos
compute.backendServices.update
,clientauthconfig.clients.create
yclientauthconfig.clients.getWithSecret
. Estos permisos se otorgan por funciones, como la función de Editor de proyectos. Para obtener más información, consulta Administra el acceso a los recursos protegidos por IAP.
- En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que deseas que IAP proteja tu recurso. Después de activar IAP, se requieren credenciales de acceso para todas las conexiones a tu balanceador de cargas. Solo se otorgará acceso a las cuentas con el rol Usuario de la aplicación web protegida con IAP en el proyecto.
Sigue las instrucciones que se indican en Control de acceso con IAM para autorizar a IAP a enviar tráfico al servicio de Cloud Run de backend.
- Principal:
service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
- Rol: Invocador de Cloud Run
La cuenta de servicio de IAP se crea cuando se habilita IAP. Si la cuenta de servicio de IAP no está en la lista de principales, puedes crearla ejecutando el siguiente comando de gcloud:
gcloud beta services identity create --service=iap.googleapis.com --project=PROJECT_ID
- Principal:
gcloud
- Si aún no lo has hecho, ejecuta el siguiente comando para crear una cuenta de servicio. Si ya creaste una cuenta de servicio, ejecutar el comando no creará cuentas de servicio duplicadas.
gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
- Ejecuta el siguiente comando para otorgar el permiso de invocador a la cuenta de servicio que creaste en el paso anterior.
gcloud run services add-iam-policy-binding [SERVICE-NAME] \ --member='serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com' \ --role='roles/run.invoker'
Para habilitar IAP, ejecuta el comando con alcance global o regional, según si el servicio de backend del balanceador de cargas es global o regional. Usa el ID de cliente y el secreto de OAuth del paso anterior.
Alcance global
gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
Alcance regional
Reemplaza lo siguiente:gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
- BACKEND_SERVICE_NAME: el nombre del servicio de backend.
- REGION_NAME: La región en la que deseas habilitar los IAP.
Después de habilitar IAP, puedes usar Google Cloud CLI para manipular una política de acceso de IAP con el rol de Identity and Access Management roles/iap.httpsResourceAccessor
. Consulta Cómo administrar roles y permisos para obtener más información.
Configura Cloud Run para limitar el acceso
Puedes configurar tu servicio de Cloud Run para que solo permita el acceso de los clientes internos y el balanceador de cargas externo, que bloquea todas las solicitudes directas de Internet pública.
Sigue los pasos que se indican en Cómo restringir la entrada de Cloud Run para configurar la entrada de tu servicio de Cloud Run en Interno y Cloud Load Balancing.
Solución de errores
The IAP service account is not provisioned
gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
Your client does not have permission to get URL from this server
El IAP usa los permisos de la cuenta de servicio de IAP para invocar tu servicio de Cloud Run. Asegúrate de haber otorgado el rol de invocador de Cloud Run a la siguiente cuenta de servicio:
service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
.Si otorgaste el rol de invocador de Cloud Run a la cuenta de servicio anterior y aún tienes este problema, vuelve a implementar tu servicio de Cloud Run.
La cuenta de servicio de IAP no necesita el permiso run.routes.invoke
.
Durante la versión preliminar de IAP con Cloud Run,
Cloud Run no realizó la verificación de permisos run.routes.invoke
para las llamadas de IAP que usan el rol de invocador de Cloud Run. Con la
disponibilidad general (DG), Cloud Run realiza esta verificación de permisos.
Para evitar cambios drásticos, algunos proyectos de clientes que dependían de este comportamiento durante la versión preliminar se colocaron en una lista de entidades permitidas para que no se verificara el permiso. Comunícate con el equipo de asistencia de Cloud Run para quitar esos proyectos de la lista de entidades permitidas solo para la versión preliminar.
¿Qué sigue?
Para configurar IAP para Cloud Run con Terraform, explora un ejemplo de código de Terraform.