En esta página, se explica cómo proteger una instancia de Compute Engine con Identity-Aware Proxy (IAP).
Antes de comenzar
Con el fin de habilitar IAP para Compute Engine, necesitas lo siguiente:
- Un proyecto de la consola de Google Cloud con facturación habilitada
- Un grupo de una o más instancias de Compute Engine, entregadas por un balanceador de cargas
- Obtén información sobre cómo configurar un balanceador de cargas HTTPS externo.
- Obtén información sobre cómo configurar un balanceador de cargas HTTP interno.
- Un nombre de dominio registrado con la dirección de tu balanceador de cargas
- Un código de aplicación para verificar que todas las solicitudes tengan una identidad
- Aprender cómo obtener la identidad del usuario
Si aún no configuraste tu instancia de Compute Engine, consulta Configura IAP para Compute Engine con el fin de obtener una explicación completa.
IAP usa un cliente de OAuth administrado por Google para autenticar usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.
Puedes habilitar IAP en un servicio de backend de Compute Engine o en una regla de reenvío de Compute Engine. Cuando habilitas IAP en un servicio de backend de Compute Engine solo ese servicio de backend está protegido por IAP. Cuando habilitas IAP en una regla de reenvío de Compute Engine, IAP protege todas las instancias de Compute Engine que se encuentran detrás de la regla de reenvío.
Habilita IAP en una regla de reenvío
Puedes habilitar IAP en una regla de reenvío con el framework de políticas de autorización del balanceador de cargas.
gcloud
- Ejecuta el siguiente comando para preparar un archivo
policy.yaml
.
$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
customProvider:
cloudIap: {}
target:
loadBalancingScheme: EXTERNAL_MANAGED
resources:
- https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF
- Ejecuta el siguiente comando para habilitar el IAP en una regla de reenvío.
gcloud beta network-security authz-policies import AUTHZ_POLICY_NAME \ --source=policy.yaml \ --location=LOCATION \ --project=PROJECT_ID
Reemplaza lo siguiente:
- PROJECT_ID: El ID del proyecto de Google Cloud.
- LOCATION: Es la región en la que se encuentra el recurso.
- FORWARDING_RULE_ID: El ID del recurso de regla de reenvío.
- AUTHZ_POLICY_NAME: Es el nombre de la política de autorización.
API
- Ejecuta el siguiente comando para preparar un archivo
policy.json
.cat << EOF > policy.json { "name": "AUTHZ_POLICY_NAME", "target": { "loadBalancingScheme": "INTERNAL_MANAGED", "resources": [ "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID" ], }, "action": "CUSTOM", "httpRules": [], "customProvider": { "cloudIap": {} } } EOF
Ejecuta el siguiente comando para habilitar IAP en una regla de reenvío.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
Reemplaza lo siguiente:
- PROJECT_ID: El ID del proyecto de Google Cloud.
- LOCATION: Es la región en la que se encuentra el recurso.
- FORWARDING_RULE_ID: El ID del recurso de regla de reenvío.
- AUTHZ_POLICY_NAME: Es el nombre de la política de autorización.
Después de habilitar IAP en una regla de reenvío, puedes aplicar permisos a los recursos.
Habilita IAP en un servicio de backend de Compute Engine
Puedes habilitar los IAP en un servicio de backend de Compute Engine a través de ese servicio.
Console
El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la consola de Google Cloud.
If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.
Setting up IAP access
-
Go to the
Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page - Select the project you want to secure with IAP.
-
Select the checkbox next to the resource you want to grant access to.
If you don't see a resource, ensure that the resource is created and that the BackendConfig Compute Engine ingress controller is synced.
To verify that the backend service is available, run the following gcloud command:
gcloud compute backend-services list
- On the right side panel, click Add principal.
-
In the Add principals dialog that appears, enter the email addresses of groups or
individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
- Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
- Click Save.
Turning on IAP
-
On the Identity-Aware Proxy page, under APPLICATIONS,
find the load balancer that serves the instance group you want to restrict
access to. To turn on IAP for a resource,
To enable IAP:- At least one protocol in the load balancer frontend configuration must be HTTPS. Learn about setting up a load balancer.
-
You need the
compute.backendServices.update
,clientauthconfig.clients.create
, andclientauthconfig.clients.getWithSecret
permissions. These permissions are granted by roles, such as the Project Editor role. To learn more, see Managing access to IAP-secured resources.
- In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only accounts with the IAP-Secured Web App User role on the project will be given access.
gcloud
Antes de configurar tu IAP y tu proyecto, necesitas una versión actualizada de la gcloud CLI. Para obtener instrucciones sobre cómo instalar la CLI de gcloud, consulta Instala la CLI de gcloud.
-
Para realizar la autenticación, usa Google Cloud CLI y ejecuta el siguiente comando.
gcloud auth login
- Para acceder, sigue la URL que aparece.
- Después de acceder, copia el código de verificación que aparece y pégalo en la línea de comandos.
-
Ejecuta el siguiente comando para especificar el proyecto que contiene el recurso que deseas proteger con IAP.
gcloud config set project PROJECT_ID
-
Para habilitar IAP, ejecuta el comando con alcance global o regional.
Alcance global Alcance regionalgcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
Después de habilitar IAP, puedes usar la CLI de gcloud para modificar la política de acceso de IAP con el rol de IAM roles/iap.httpsResourceAccessor
. Obtén más información sobre cómo administrar funciones y permisos.
API
Ejecuta el siguiente comando para preparar un archivo
settings.json
.cat << EOF > settings.json { "iap": { "enabled":true } } EOF
Ejecuta el siguiente comando para habilitar la IAP.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"
Después de habilitar IAP, puedes usar la Google Cloud CLI para modificar el
Política de acceso de IAP con el rol de IAM
roles/iap.httpsResourceAccessor
Obtén más información sobre cómo administrar funciones y permisos.