Habilita IAP para Compute Engine

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se explica cómo proteger una instancia de Compute Engine con Identity-Aware Proxy (IAP).

Antes de comenzar

Con el fin de habilitar IAP para Compute Engine, necesitas lo siguiente:

Si aún no configuraste tu instancia de Compute Engine, consulta Configura IAP para Compute Engine con el fin de obtener una explicación completa.

Habilita IAP con Google Cloud Console

Configura la pantalla de consentimiento de OAuth

Si aún no configuraste la pantalla de consentimiento de OAuth de tu proyecto, debes hacerlo con una dirección de correo electrónico y un nombre de producto.

  1. Ve a la pantalla de consentimiento de OAuth.
    Configuración de la pantalla de consentimiento
  2. En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. La dirección de correo electrónico debe pertenecer a la cuenta de usuario con la que accediste o a un Grupo de Google al que pertenece el usuario con el que accediste.
  3. Ingresa el Nombre de la aplicación que deseas mostrar.
  4. Agrega otro tipo de información opcional que desees mostrar.
  5. Haz clic en Guardar.

Para cambiar la información en la pantalla de consentimiento de OAuth más tarde, como el nombre del producto o la dirección de correo electrónico, repite los pasos anteriores para configurarla.

Crea credenciales de OAuth

  1. Ve a la página Credenciales.
    Ir a la página Credenciales
  2. En el menú desplegable Crear credenciales, selecciona ID de cliente de OAuth.
  3. En Tipo de aplicación, selecciona Aplicación web.
  4. Agrega un Nombre para tu ID de cliente de OAuth.
  5. Haz clic en Crear.

    Tu ID de cliente de OAuth y tu secreto de cliente se generan y se muestran en la ventana Cliente de OAuth.

  6. En el cuadro de diálogo Cliente de OAuth que se creó, copia el ID de cliente en el portapapeles.
  7. Haz clic en OK.
  8. Haga clic en el nombre del cliente que acaba de crear para volver a abrirlo y editarlo.
  9. En el campo URI de redireccionamiento autorizados, ingresa la siguiente string:
    https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect

    En el ejemplo anterior, CLIENT_ID es el ID de cliente de OAuth que acabas de copiar en el portapapeles.

Configura el acceso de IAP

  1. Ve a la página Identity-Aware Proxy.
    Ir a la página Identity-Aware Proxy
  2. Selecciona el proyecto que deseas proteger con IAP.
  3. Selecciona la casilla de verificación junto al recurso al que deseas otorgar acceso.
  4. En el panel lateral derecho, haz clic en Agregar principal.
  5. En el cuadro de diálogo Agregar principales que aparece, ingresa las direcciones de correo electrónico de los grupos o personas a quienes se debe asignar la función Usuario de app web protegida con IAP para el proyecto.

    Los siguientes tipos de principales pueden tener esta función:

    • Cuenta de Google: usuario@gmail.com
    • Grupo de Google: administradores@googlegroups.com
    • Cuenta de servicio: servidor@ejemplo.cuentadeserviciog.com
    • Dominio de Google Workspace: example.com

    Asegúrate de agregar una Cuenta de Google a la que tengas acceso.

  6. En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de app web protegida con IAP.
  7. Haz clic en Guardar.

Activa IAP

  1. En la página Identity-Aware Proxy, en APPLICATIONS, busca el balanceador de cargas que entrega el instance group al que deseas restringir el acceso. A fin de activar IAP para un recurso,
    Condición para habilitar IAP:
  2. En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que deseas que IAP proteja tu recurso. Después de activar IAP, se requieren credenciales de acceso para todas las conexiones a tu balanceador de cargas. Solo las cuentas con la función Usuario de la aplicación web protegida con IAP en el proyecto tendrán acceso.

Habilita IAP con el SDK de Google Cloud

En esta sección, se describe cómo usar la herramienta de línea de comandos de gcloud para activar IAP en aplicaciones Compute Engine. Aún no se admite el uso de la herramienta de línea de comandos de gcloud a fin de activar IAP para App Engine. En cambio, usa la guía de inicio rápido de App Engine.

Obtén Google Cloud CLI

Antes de configurar tu IAP y tu proyecto, debes tener una versión actualizada de gcloud CLI. Obtén la CLI de gcloud.

Configurando el proyecto

Selecciona el proyecto para el que deseas habilitar IAP y configúralo de la siguiente manera:

  1. Ve a la página grupos de instancias para asegurarte de que tus instancias estén dentro de un grupo de instancias.
  2. Define los servicios de backend.
  3. Configura el balanceo de cargas externo o interno.
  4. Configura un cliente de OAuth:
    1. Ve a API > Credenciales y selecciona el proyecto para el que deseas habilitar IAP.
    2. Configura tu pantalla de consentimiento de OAuth:
      1. Ve a la pantalla de consentimiento de OAuth.
        Configuración de la pantalla de consentimiento
      2. En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. La dirección de correo electrónico debe pertenecer a la cuenta de usuario con la que accediste o a un Grupo de Google al que pertenece el usuario con el que accediste.
      3. Ingresa el Nombre de la aplicación que deseas mostrar.
      4. Agrega otro tipo de información opcional que desees mostrar.
      5. Haz clic en Guardar.

      Para cambiar la información en la pantalla de consentimiento de OAuth más tarde, como el nombre del producto o la dirección de correo electrónico, repite los pasos anteriores para configurarla.

    3. En Credenciales, haz clic en Crear credenciales > ID de cliente de OAuth.
    4. En Tipo de aplicación, selecciona Aplicación web y, a continuación, agrega un Nombre.
    5. Cuando termines de ingresar los detalles, haz clic en Crear.
    6. En la ventana del cliente de OAuth que aparece a continuación, toma nota del ID del cliente y del secreto del cliente.
    7. Vuelve a seleccionar el cliente. Agrega la URL de redireccionamiento universal al campo URI de redireccionamiento autorizados en el formato https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect, en el que CLIENT_ID es el ID de cliente de OAuth.

Habilita IAP

  1. Usa Google Cloud CLI para ejecutar gcloud auth login.
  2. Sigue la URL que aparece para obtener acceso.
  3. Después de ingresar, copia el código de verificación que aparece y pégalo en la línea de comandos.
  4. Ejecuta gcloud config set project PROJECT_ID para el proyecto en el que deseas habilitar IAP.
  5. Para habilitar IAP, usa el ID de cliente y el secreto de OAuth que creaste anteriormente y ejecuta el comando de alcance global o regional.
    • Alcance global: gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET.
    • Alcance regional: gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET.

Después de habilitar IAP, puedes usar la herramienta de línea de comandos de gcloud para manipular la política de acceso de IAP con la función de IAM roles/iap.httpsResourceAccessor. Obtén más información sobre cómo administrar funciones y permisos.