Cloud Run での IAP の有効化

このページでは、Identity-Aware Proxy（IAP）を使用して Cloud Run サービスを保護する方法について説明します。

既知の制限事項

HTTP/2 が有効な Cloud Run サービスでは、IAP で保護されると、リクエスト時にリダイレクトの無限ループが発生します。この動作は想定されておらず、将来的には対処される予定です。現時点では、この動作を回避するため、サービスが IAP の背後にある場合は、HTTP/2 構成（デフォルト設定）を無効にすることをおすすめします。
内部ロードバランサを含む Cloud Run には、BeyondCorp Enterprise サブスクリプションが必要です。
IAP は、X-Serverless-Authorization ヘッダーを使用して Cloud Run の認証を行います。Cloud Run は、署名を削除した後、このヘッダーをサービスに渡します。サービスが IAM 認証を必要とする別の Cloud Run サービスにリクエストを転送するように設計されている場合は、まずこのヘッダーを削除するようにサービスを更新します。
IAP は Cloud CDN との互換性はありません。

始める前に

Cloud Run で IAP を有効にするには、次のものが必要です。

課金が有効になっている Google Cloud コンソールプロジェクト。
ロードバランサで処理される 1 つ以上の Cloud Run サービスのグループ。
- 外部 HTTPS ロードバランサの設定についての詳細の確認。
- 内部 HTTPS ロードバランサの設定についての詳細の確認。
- ロードバランサのアドレスに登録されたドメイン名。
すべてのリクエストに ID があることを確認するアプリケーションコード。
- ユーザーの ID の取得をご覧ください。

IAP は、Google が管理する OAuth クライアントを使用してユーザーを認証します。組織内のユーザーのみが IAP 対応アプリケーションにアクセスできます。組織外のユーザーにアクセスを許可するには、外部アプリケーション用に IAP を有効にするをご覧ください。

IAP の有効化

コンソール

Google Cloud コンソールを使用して IAP を有効にする場合、Google が管理する OAuth クライアントは使用できません。

プロジェクトの OAuth 同意画面をまだ構成していない場合は、画面を構成するように指示されます。OAuth 同意画面を構成する方法については、OAuth 同意画面の設定をご覧ください。

IAP アクセス権の設定

[Identity-Aware Proxy] ページに移動します。
IAP で保護するプロジェクトを選択します。
[アプリケーション] で、メンバーを追加するロードバランサバックエンドサービスの横にあるチェックボックスをオンにします。
右側のパネルで [メンバーを追加] をクリックします。
[メンバーの追加] ダイアログで、プロジェクトに対する IAP で保護されたウェブアプリユーザーの役割を持つグループ、または個人のアカウントを入力します。メンバーにすることができるアカウントの種類は以下のとおりです。
- Google アカウント: user@gmail.com - これは、user@google.com やその他のワークスペースドメインなどの Google Workspace のアカウントでもかまいません。
- Google グループ: admins@googlegroups.com
- サービスアカウント: server@example.gserviceaccount.com
- Google Workspace ドメイン: example.com
[役割] のプルダウンリストから [Cloud IAP] > [IAP で保護されたウェブアプリユーザー] を選択します。
[保存] をクリックします。

IAP の有効化

IAP ページの [アプリケーション] で、アクセスを制限するロードバランサのバックエンドサービスを見つけます。リソースの IAP を有効にするには、[IAP] 切り替えボタンをクリックします。IAP を有効にするには:
- ロードバランサのフロントエンドの構成内では、少なくとも 1 つのプロトコルは HTTPS でなければなりません。ロードバランサの設定をご覧ください。
- compute.backendServices.update、clientauthconfig.clients.create、clientauthconfig.clients.getWithSecret 権限が必要です。上記の権限は、プロジェクト編集者などの役割によって付与されます。詳細については、IAP で保護されたリソースへのアクセスを管理するをご覧ください。
表示された [IAP の有効化] ウィンドウで [有効にする] をクリックし、IAP でリソースを保護することを確認します。IAP が有効になった後は、ロードバランサへのすべての接続でログイン認証情報が必要になります。プロジェクトで IAP で保護されたウェブアプリユーザーの役割を持つアカウントにのみアクセスが許可されます。
IAM によるアクセス制御の手順に沿って、IAP がトラフィックを Cloud Run バックエンドサービスに送信することを承認します。
- プリンシパル: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
- ロール: Cloud Run 起動元

gcloud

まだ作成していない場合は、次のコマンドを実行してサービスアカウントを作成します。以前にサービスアカウントを作成している場合、コマンドを実行しても重複するサービスアカウントは作成されません。
```
gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
```

次のコマンドを実行して、前の手順で作成したサービスアカウントに起動元権限を付与します。

gcloud run services add-iam-policy-binding [SERVICE-NAME] \
--member='serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com'  \
--role='roles/run.invoker'

ロードバランサのバックエンドサービスがグローバルかリージョンかに応じて、グローバルスコープまたはリージョンスコープのコマンドを実行して IAP を有効にします。前のステップの OAuth クライアント ID とシークレットを使用します。

グローバルスコープ
```
gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
```
リージョンスコープ
```
gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
```
以下を置き換えます。
- BACKEND_SERVICE_NAME: バックエンドサービスの名前。
- REGION_NAME: IAP を有効にするリージョン。

IAP を有効にすると、Google Cloud CLI で Identity and Access Management のロール roles/iap.httpsResourceAccessor を使用して IAP アクセスポリシーを操作できます。詳細については、ロールと権限の管理をご覧ください。

アクセスを制限する Cloud Run の構成

内部クライアントと外部ロードバランサにのみアクセスを許可するように Cloud Run サービスを構成できます。これにより、公共のインターネットからのすべての直接リクエストがブロックされます。

Cloud Run の上り（内向き）の制限の手順に沿って、Cloud Run サービスの上り（内向き）設定を Internal Load Balancing と Cloud Load Balancing に構成します。

エラーのトラブルシューティング

 The IAP service account is not provisioned

このエラーが表示された場合は、gcloud CLI を使用して Cloud Run サービスで IAP を有効にしようとしています。gcloud CLI による IAP の設定には、次のコマンドを使用してプロジェクトの IAP サービスアカウントをプロビジョニングする追加のステップが含まれます。 gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]

 Your client does not have permission to get URL from this server

IAP は、IAP サービスアカウントの権限を使用して、Cloud Run サービスを呼び出します。Cloud Run 起動元権限が次のサービスアカウントに付与されていることを確認します。 service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
上記のサービスアカウントに Cloud Run 起動元権限を付与しても問題が解決しない場合は、Cloud Run サービスを再デプロイします。

次のステップ

Terraform を使用して Cloud Run の IAP を設定する場合は、Terraform のコードサンプルをご覧ください。