IAP für Compute Engine aktivieren

Auf dieser Seite wird erläutert, wie eine Compute Engine-Instanz mit Identity-Aware Proxy (IAP) gesichert wird.

Hinweis

Zum Aktivieren von IAP für Compute Engine benötigen Sie Folgendes:

Wenn Sie Ihre Compute Engine-Instanz noch nicht eingerichtet haben, lesen Sie die vollständige Schritt-für-Schritt-Anleitung unter IAP für Compute Engine einrichten.

IAP über die Konsole aktivieren

OAuth-Zustimmungsbildschirm konfigurieren

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, müssen Sie dies nachholen. Für den OAuth-Zustimmungsbildschirm sind eine E-Mail-Adresse und ein Produktname erforderlich.

  1. Öffnen Sie den OAuth-Zustimmungsbildschirm.
    Zustimmungsbildschirm konfigurieren
  2. Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die als öffentlicher Kontakt angezeigt werden soll. Die E-Mail-Adresse muss zum aktuell angemeldeten Nutzerkonto oder zu einer Google Groups-Gruppe gehören, zu der der aktuell angemeldete Nutzer gehört.
  3. Geben Sie den Namen der Anwendung ein, der angezeigt werden soll.
  4. Fügen Sie nach Belieben weitere Details hinzu.
  5. Klicken Sie auf Speichern.

Zum Ändern von Informationen im OAuth-Zustimmungsbildschirm wie Produktname oder E-Mail-Adresse müssen Sie die vorherigen Schritte zur Konfiguration des Zustimmungsbildschirms wiederholen.

OAuth-Anmeldedaten erstellen

  1. Rufen Sie die Seite Anmeldedaten auf.
    Zur Seite "Anmeldedaten"
  2. Wählen Sie in der Drop-down-Liste Anmeldedaten erstellen die Option OAuth-Client-ID aus.
  3. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.
  4. Fügen Sie unter Name einen Namen für Ihre OAuth-Client-ID hinzu.
  5. Klicken Sie auf Erstellen. Ihre OAuth-Client-ID und Ihr Clientschlüssel werden generiert und im Fenster OAuth-Client angezeigt.
  6. Klicken Sie auf OK.
  7. Wählen Sie den von Ihnen erstellten Client aus.
  8. Kopieren Sie die Client-ID in die Zwischenablage.
  9. Fügen Sie die universelle Weiterleitungs-URL im Feld Autorisierte Weiterleitungs-URIs im folgenden Format hinzu:
    https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect

    Dabei ist CLIENT_ID die OAuth-Client-ID.

  10. Klicken Sie oben auf der Seite auf JSON herunterladen. Sie benötigen diese Anmeldedaten in einem späteren Schritt.

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Klicken Sie auf das Kästchen neben der Ressource, auf die Sie Zugriff gewähren möchten.
  4. Klicken Sie im rechten Bereich auf Hauptkonto hinzufügen.
  5. Geben Sie im angezeigten Dialogfeld Hauptkonten hinzufügen die E-Mail-Adressen von Gruppen oder Einzelpersonen ein, die die Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt haben sollen.

    Die folgenden Arten von Hauptkonten können diese Rolle haben:

    • Google-Konto: nutzer@gmail.com
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: example.com

    Fügen Sie unbedingt ein Google-Konto hinzu, auf das Sie zugreifen können.

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der Seite Identity-Aware Proxy unter HTTPS-Ressourcen nach dem Load-Balancer, über den instance group bereitgestellt wird, auf die Sie den Zugriff beschränken möchten.
    So aktivieren Sie IAP:
    • Mindestens ein Protokoll in der Load-Balancer-Front-End-Konfiguration muss HTTPS sein. Erfahren Sie, wie Sie einen Load-Balancer einrichten.
    • Sie benötigen die Berechtigungen compute.backendServices.update, clientauthconfig.clients.create und clientauthconfig.clients.getWithSecret. Diese Berechtigungen erhalten Sie über Rollen wie "Projektbearbeiter". Weitere Informationen finden Sie unter Zugriff auf durch IAP gesicherte Ressourcen verwalten.
  2. Klicken Sie im angezeigten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass die Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load-Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Konten mit der Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt.

IAP mit dem Google Cloud SDK aktivieren

In diesem Abschnitt wird gezeigt, wie Sie mit dem gcloud-Befehlszeilentool IAP für Compute Engine-Anwendungen aktivieren. Die Verwendung des gcloud-Befehlszeilentools zum Aktivieren von IAP für App Engine wird noch nicht unterstützt. Verwenden Sie stattdessen die App Engine-Kurzanleitung.

Google Cloud-Befehlszeile abrufen

Bevor Sie Ihr Projekt und IAP einrichten, benötigen Sie eine aktuelle Version der gcloud-Befehlszeile. gcloud-Befehlszeile abrufen

Projekt einrichten

Wählen Sie das Projekt aus, für das Sie IAP aktivieren möchten, und richten Sie es so ein:

  1. Rufen Sie die Seite Instanzgruppen auf, um zu prüfen, ob Ihre Instanzen zu einer Instanzgruppe gehören.
  2. Definieren Sie Back-End-Dienste.
  3. Externes oder internes Load-Balancing einrichten
  4. Richten Sie einen OAuth-Client ein:
    1. Rufen Sie API > Anmeldedaten auf und wählen Sie das Projekt aus, für das Sie IAP aktivieren möchten.
    2. Richten Sie den OAuth-Zustimmungsbildschirm ein:
      1. Öffnen Sie den OAuth-Zustimmungsbildschirm.
        Zustimmungsbildschirm konfigurieren
      2. Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die als öffentlicher Kontakt angezeigt werden soll. Die E-Mail-Adresse muss zum aktuell angemeldeten Nutzerkonto oder zu einer Google Groups-Gruppe gehören, zu der der aktuell angemeldete Nutzer gehört.
      3. Geben Sie den Namen der Anwendung ein, der angezeigt werden soll.
      4. Fügen Sie nach Belieben weitere Details hinzu.
      5. Klicken Sie auf Speichern.

      Zum Ändern von Informationen im OAuth-Zustimmungsbildschirm wie Produktname oder E-Mail-Adresse müssen Sie die vorherigen Schritte zur Konfiguration des Zustimmungsbildschirms wiederholen.

    3. Klicken Sie unter Anmeldedaten auf Anmeldedaten erstellen > OAuth-Client-ID.
    4. Wählen Sie unter Anwendungstyp die Option Webanwendung aus und fügen Sie dann unter Name einen Namen hinzu.
    5. Wenn Sie mit der Eingabe der Details fertig sind, klicken Sie auf Erstellen.
    6. Im Fenster OAuth-Client, das nun erscheint, notieren Sie sich die Client-ID und den Clientschlüssel.
    7. Wählen Sie den Client erneut aus. Fügen Sie dem Feld autorisierte Weiterleitungs-URIs die universelle Weiterleitungs-URL im Format https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect hinzu, wobei CLIENT_ID die OAuth-Client-ID ist.

IAP aktivieren

  1. Verwenden Sie die Google Cloud-Befehlszeile, um gcloud auth login auszuführen.
  2. Folgen Sie der URL, die angezeigt wird, um sich anzumelden.
  3. Kopieren Sie, nachdem Sie sich angemeldet haben, den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.
  4. Führen Sie gcloud config set project PROJECT_ID für das Projekt aus, für das Sie IAP aktivieren möchten.
  5. Verwenden Sie zum Aktivieren von IAP die zuvor erstellte OAuth-Client-ID und das OAuth-Secret und führen entweder den Befehl für den globalen oder regionalen Bereich aus.
    • Globaler Bereich: gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET.
    • Regionaler Bereich: gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET.

Nachdem Sie IAP aktiviert haben, können Sie mit dem gcloud-Befehlszeilentool die IAP-Zugriffsrichtlinie mithilfe der IAM-Rolle roles/iap.httpsResourceAccessor bearbeiten. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.