Compute Engine の IAP の有効化

このページでは、Identity-Aware Proxy（IAP）で Compute Engine インスタンスを保護する方法について説明します。

始める前に

Compute Engine で IAP を有効にするには、次のものが必要です。

課金が有効になっている Google Cloud コンソールプロジェクト。
ロードバランサで処理される 1 つ以上の Compute Engine インスタンスのグループ。
- 外部 HTTPS ロードバランサの設定についての詳細の確認。
- 内部 HTTP ロードバランサの設定についての詳細の確認。
ロードバランサのアドレスに登録されたドメイン名。
すべてのリクエストに ID があることを確認するアプリケーションコード。
- ユーザーの ID の取得をご覧ください。

Compute Engine インスタンスをまだ設定していない場合は、Compute Engine の IAP の設定をご覧ください。

Google Cloud コンソールを使用した IAP の有効化

OAuth 同意画面の構成

プロジェクトの OAuth 同意画面を構成していない場合は、画面を構成する必要があります。この画面では、メールアドレスとプロダクト名が必要です。

Go to the OAuth consent screen.
Configure consent screen
Under Support email, select the email address you want to display as a public contact. The email address must belong to the currently logged in user account or to a Google Group of which the currently logged in user belongs.
Enter the Application name you want to display.
Add any optional details you'd like.
Click Save.

To change information on the OAuth consent screen later, such as the product name or email address, repeat the preceding steps to configure the consent screen.

OAuth 認証情報の作成

[認証情報] ページに移動します。
[認証情報] ページに移動
[認証情報の作成] プルダウンで、[OAuth クライアント ID] を選択します。
[アプリケーションの種類] で、[ウェブアプリケーション] を選択します。
OAuth クライアント ID の名前を追加します。
[作成] をクリックします。
OAuth クライアント ID とクライアントシークレットが生成され、OAuth クライアント ウィンドウに表示されます。
[OAuth クライアントを作成しました] のダイアログで、クライアント ID をクリップボードにコピーします。
[OK] をクリックします。
作成したクライアントの名前をクリックして、編集用に再度開きます。
[承認済みのリダイレクト URI] に次の文字列を入力します。
```
https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect
```
ここで、CLIENT_ID はクリップボードにコピーした OAuth クライアント ID です。

IAP アクセス権の設定

[Identity-Aware Proxy] ページに移動します。
[Identity-Aware Proxy] ページに移動
IAP で保護するプロジェクトを選択します。
アクセス権を付与するリソースの横にあるチェックボックスをオンにします。
右側のパネルで [プリンシパルを追加] をクリックします。
表示される [メンバーの追加] ダイアログで、プロジェクトに対する IAP で保護されたウェブアプリユーザーの役割を付与するグループ、または個人のメールアドレスを追加します。
このロールを持つことができるプリンシパルの種類は次のとおりです。
- Google アカウント: user@gmail.com
- Google グループ: admins@googlegroups.com
- サービスアカウント: server@example.gserviceaccount.com
- Google Workspace ドメイン: example.com
追加する Google アカウントは、自分がアクセスできるものにしてください。
[役割] のプルダウンリストから [Cloud IAP] > [IAP で保護されたウェブアプリユーザー] を選択します。
[保存] をクリックします。

IAP の有効化

[Identity-Aware Proxy] ページの [アプリケーション] で、アクセスを制限する instance group にサービスを提供するロードバランサを探します。リソースの IAP を有効にするには、[IAP] 列でオン / オフスイッチを切り替えます。
IAP を有効にするには:
- ロードバランサのフロントエンドの構成内では、少なくとも 1 つのプロトコルは HTTPS でなければなりません。ロードバランサの設定をご覧ください。
- compute.backendServices.update、clientauthconfig.clients.create、clientauthconfig.clients.getWithSecret 権限が必要です。上記の権限は、プロジェクト編集者などの役割によって付与されます。詳細については、IAP で保護されたリソースへのアクセスを管理するをご覧ください。
表示された [IAP の有効化] ウィンドウで [有効にする] をクリックし、IAP でリソースを保護することを確認します。IAP が有効になった後は、ロードバランサへのすべての接続でログイン認証情報が必要になります。プロジェクトで IAP で保護されたウェブアプリユーザーの役割を持つアカウントにのみアクセスが許可されます。

Google Cloud SDK を使用した IAP の有効化

このセクションでは、gcloud コマンドラインツールを使用して、Compute Engine アプリケーションで IAP を有効にする方法について説明します。現時点では、gcloud コマンドラインツールで App Engine の IAP を有効にすることはできません。代わりに App Engine のクイックスタートの方法を使用してください。

Google Cloud CLI の取得

プロジェクトと IAP を設定する前に、最新バージョンの gcloud CLI を入手する必要があります。こちらから gcloud CLI を取得します。

プロジェクトの設定

IAP を有効にするプロジェクトを選択し、次のように設定します。

[インスタンスグループ] ページに移動して、インスタンスがインスタンスグループ内にあることを確認します。
バックエンドサービスを定義します。
外部または内部のロードバランシングを設定します。
OAuth クライアントを設定します。
1. [API] > [認証情報] の順に移動し、IAP を有効にするプロジェクトを選択します。
2. OAuth 同意画面を設定します。
  Caution: Don't enter any confidential information on the OAuth consent screen. Any information you save to the OAuth consent screen may be publicly visible for anyone who accesses your URL. Email and product details are displayed on the login screen and when someone tries to access a resource for which they don't have permission.
  1. Go to the OAuth consent screen.
    Configure consent screen
  2. Under Support email, select the email address you want to display as a public contact. The email address must belong to the currently logged in user account or to a Google Group of which the currently logged in user belongs.
  3. Enter the Application name you want to display.
  4. Add any optional details you'd like.
  5. Click Save.
  To change information on the OAuth consent screen later, such as the product name or email address, repeat the preceding steps to configure the consent screen.
3. [認証情報] で、[認証情報を作成] > [OAuth クライアント ID] をクリックします。
4. [アプリケーションの種類] で、[ウェブアプリケーション] を選択し、名前を追加します。
5. 詳細の入力が完了したら、[作成] をクリックします。
6. 表示された [OAuth クライアント] ウィンドウで、クライアント ID とクライアントシークレットをメモします。
7. クライアントをもう一度選択します。[承認済みのリダイレクト URI] フィールドにユニバーサルリダイレクト URL を https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect の形式で追加します。CLIENT_ID は、OAuth クライアント ID です。

IAP の有効化

Google Cloud CLI を使用して gcloud auth login を実行します。
表示される URL に従ってログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
IAP を有効にするプロジェクトに gcloud config set project PROJECT_ID を実行します。
IAP を有効にするには、上記で作成した OAuth クライアント ID とシークレットを使用して、グローバルスコープまたはリージョンスコープのコマンドを実行します。
- グローバルスコープ: gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET。
- リージョンスコープ: gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET。

IAP を有効にすると、gcloud コマンドラインツールで IAM のロール roles/iap.httpsResourceAccessor を使用して IAP アクセスポリシーを操作できます。詳しくは、ロールと権限の管理をご覧ください。