Activer IAP pour Cloud Run

Cette page explique comment sécuriser un service Cloud Run avec Identity-Aware Proxy (IAP).

Limitations connues

  • Les services Cloud Run pour lesquels le protocole HTTP/2 est activé rencontrent une boucle de redirection infinie sur les requêtes lorsqu'ils sont sécurisés avec IAP. Ce comportement n'est pas intentionnel et nous prévoyons de remédier à ce problème à l'avenir. Pour éviter ce comportement à l'heure actuelle, Google recommande de désactiver la configuration HTTP/2 (paramètre par défaut) lorsqu'un service est situé derrière IAP.

  • Cloud Run avec un équilibreur de charge interne nécessite un abonnement BeyondCorp Enterprise.

  • IAP s'authentifie auprès de Cloud Run à l'aide de l'en-tête X-Serverless-Authorization. Cloud Run transmet cet en-tête à votre service après suppression de sa signature. Si votre service est conçu pour transférer la requête à un autre service Cloud Run nécessitant une authentification IAM, mettez d'abord à jour votre service pour supprimer cet en-tête.

  • IAP n'est pas compatible avec Cloud CDN.

Avant de commencer

Pour activer IAP pour Cloud Run, vous avez besoin des éléments suivants:

Activer IAP

Console

Si vous n'avez pas configuré l'écran d'autorisation OAuth de votre projet, vous devez le faire. Vous devez saisir une adresse e-mail et un nom de produit.

  1. Accédez à l'écran d'autorisation OAuth.
  2. Sous Adresse e-mail d'assistance, sélectionnez l'adresse e-mail que vous souhaitez afficher en tant que contact public. Celle-ci doit correspondre à votre adresse e-mail ou à un groupe Google dont vous êtes le propriétaire.
  3. Saisissez le nom de l'application que vous souhaitez afficher.
  4. Ajoutez d'éventuels détails.
  5. Cliquez sur Enregistrer.

Pour modifier les informations sur l'écran d'autorisation OAuth, comme le nom du produit ou l'adresse e-mail, répétez les étapes précédentes pour configurer l'écran d'autorisation.

Configurer l'accès à IAP

  1. Accédez à la page Identity-Aware Proxy.
  2. Sélectionnez le projet que vous souhaitez sécuriser avec IAP.
  3. Sous APPLICATIONS, cochez la case à côté du service de backend d'équilibreur de charge auquel vous souhaitez ajouter des membres.
  4. Dans le panneau d'informations situé à droite, cliquez sur Ajouter un membre.

  5. Dans la boîte de dialogue Ajouter des membres, saisissez les comptes des groupes ou des personnes auxquels vous souhaitez accorder le rôle Utilisateur de l'application Web sécurisée par IAP dans le cadre du projet. Les types de comptes suivants peuvent être ajoutés en tant que membres :

    • Compte Google: utilisateur@gmail.com. Il peut également s'agir d'un compte Google Workspace, par exemple utilisateur@google.com ou un autre domaine Workspace.
    • Groupe Google : admins@googlegroups.com
    • Compte de service : server@example.gserviceaccount.com
    • Domaine Google Workspace : example.com

  6. Sélectionnez Cloud IAP > Utilisateur de l'application Web sécurisée par IAP dans la liste déroulante Rôles.

  7. Cliquez sur Enregistrer.

Activer IAP

  1. Sur la page IAP, sous APPLICATIONS (APPLICATIONS), recherchez le service de backend d'équilibreur de charge auquel vous souhaitez restreindre l'accès. Pour activer IAP pour une ressource, cliquez sur le bouton IAP. Pour activer IAP :
    • La configuration du frontend de l'équilibreur de charge doit comporter au moins un protocole HTTPS. En savoir plus sur la configuration d'un équilibreur de charge
    • Vous devez disposer des autorisations compute.backendServices.update, clientauthconfig.clients.create et clientauthconfig.clients.getWithSecret. Ces autorisations sont accordées par des rôles (par exemple, Éditeur de projet). Pour en savoir plus, consultez Gérer l'accès aux ressources sécurisées par IAP.
  2. Dans la fenêtre Activer IAP qui s'affiche, cliquez sur Activer pour confirmer que vous souhaitez qu'IAP sécurise votre ressource. Une fois IAP activé, des identifiants de connexion sont requis pour toutes les connexions à votre équilibreur de charge. Seuls les comptes disposant du rôle Utilisateur de l'application Web sécurisée par IAP sur le projet y ont accès.

  3. Suivez les instructions de la section Contrôle des accès avec IAM pour autoriser IAP à envoyer du trafic vers le service Cloud Run de backend.

    • Compte principal: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
    • Rôle: Demandeur Cloud Run

gcloud

  1. Suivez les instructions de la page Créer des clients OAuth par programmation pour IAP pour configurer l'écran d'autorisation OAuth et créer le client OAuth.
  2. Enregistrez l'ID client et le code secret OAuth.
  3. Si vous ne l'avez pas déjà fait, créez un compte de service en exécutant la commande suivante. Si vous avez déjà créé un compte de service, l'exécution de la commande ne crée pas de comptes de service en double. 
    gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
  4. Accordez l'autorisation d'appel au compte de service, créé à l'étape précédente, en exécutant la commande suivante: 
    gcloud run services add-iam-policy-binding [SERVICE-NAME] \
--member=`serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com`  \
--role=`roles/run.invoker`

  5. Activez IAP en exécutant la commande à l'échelle mondiale ou régionale, selon que le service de backend de votre équilibreur de charge est mondial ou régional. Utilisez l'ID client OAuth et le code secret de l'étape précédente.

    Champ d'application global: 

    gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET

    Champ d'application régional: 

    gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
    Remplacez les éléments suivants :

    • BACKEND_SERVICE_NAME : nom du service de backend.
    • CLIENT_ID: ID client OAuth récupéré à l'étape précédente.
    • CLIENT_SECRET: code secret du client OAuth récupéré à l'étape précédente.
    • REGION_NAME: région dans laquelle vous souhaitez activer IAP.

Après avoir activé IAP, vous pouvez utiliser Google Cloud CLI pour manipuler une stratégie d'accès IAP à l'aide du rôle Identity and Access Management roles/iap.httpsResourceAccessor. Pour en savoir plus, consultez Gérer les rôles et les autorisations.

Configurer Cloud Run pour limiter l'accès

Vous pouvez configurer votre service Cloud Run de façon à n'autoriser l'accès qu'aux clients internes et à l'équilibreur de charge externe, qui bloque toutes les requêtes directes provenant de l'Internet public.

Suivez la procédure décrite dans la section Restreindre l'entrée pour Cloud Run pour configurer le paramètre d'entrée de votre service Cloud Run sur Interne et Cloud Load Balancing.

Résoudre les erreurs

 The IAP service account is not provisioned

Si vous rencontrez cette erreur, cela signifie que vous essayez d'activer IAP sur un service Cloud Run via gcloud CLI. La configuration d'IAP via gcloud CLI comprend l'étape supplémentaire de provisionnement d'un compte de service IAP dans votre projet à l'aide de la commande suivante : gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID] 

 Your client does not have permission to get URL from this server

  • IAP utilise les autorisations du compte de service IAP pour appeler votre service Cloud Run. Assurez-vous d'avoir fourni les autorisations de demandeur Cloud Run au compte de service suivant : service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com

  • Si vous avez fourni des autorisations de demandeur Cloud Run au compte de service ci-dessus et que vous rencontrez toujours ce problème, redéployez votre service Cloud Run.

Étapes suivantes

Pour vous aider à configurer IAP pour Cloud Run avec Terraform, explorez un exemple de code Terraform.