Como ativar o IAP para o Compute Engine

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, você aprenderá como proteger uma instância do Compute Engine com o Identity-Aware Proxy (IAP).

Antes de começar

Para ativar o IAP para o Compute Engine, você precisará destes elementos:

Se você ainda não configurou a instância do Compute Engine, consulte Como configurar o IAP para o Compute Engine para um tutorial completo.

Como ativar o IAP usando o Console do Google Cloud

Como configurar a tela de consentimento do OAuth

Se você não tiver configurado a tela de permissão OAuth do seu projeto, precisará fazer isso. Um endereço de e-mail e um nome de produto são necessários para a tela de permissão OAuth.

  1. Go to the OAuth consent screen.
    Configure consent screen
  2. Under Support email, select the email address you want to display as a public contact. The email address must belong to the currently logged in user account or to a Google Group of which the currently logged in user belongs.
  3. Enter the Application name you want to display.
  4. Add any optional details you'd like.
  5. Click Save.

To change information on the OAuth consent screen later, such as the product name or email address, repeat the preceding steps to configure the consent screen.

Criar credenciais do OAuth

  1. Acesse a página Credenciais.
    Acessar a página "Credenciais"
  2. Na lista suspensa Criar credenciais, selecione ID do cliente OAuth.
  3. Em Tipo de aplicativo, selecione Aplicativo da Web.
  4. Adicione um nome para seu ID do cliente OAuth.
  5. Clique em Criar.

    O ID e a chave secreta do cliente OAuth são gerados e exibidos na janela Cliente OAuth.

  6. Na caixa de diálogo Oauth client created, copie o ID do cliente para a área de transferência.
  7. Clique em OK.
  8. Clique no nome do cliente que você acabou de criar para reabri-lo para edição.
  9. No campo URIs de redirecionamento autorizados, insira a seguinte string:
    https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect

    em que CLIENT_ID é o ID do cliente OAuth que você acabou de copiar para a área de transferência.

Como configurar o acesso do IAP

  1. Acesse a página Identity-Aware Proxy.
    Acessar a página "Identity-Aware Proxy"
  2. Selecione o projeto que você quer proteger com o IAP.
  3. Marque a caixa de seleção ao lado do recurso ao qual você quer conceder acesso.
  4. No painel lateral à direita, clique em Adicionar participante.
  5. Na caixa de diálogo Adicionar participantes que é exibida, adicione os endereços de e-mail de grupos ou indivíduos que terão o papel Usuário do app da Web protegido pelo IAP no projeto.

    Os seguintes tipos de principais podem ter este papel:

    • Conta do Google: user@gmail.com
    • grupo do Google: admins@googlegroups.com
    • Conta de serviço: server@example.gserviceaccount.com
    • Domínio do Google Workspace: example.com

    Inclua uma Conta do Google a que você tenha acesso.

  6. Selecione Cloud IAP > Usuário do app da Web protegido pelo IAP na lista suspensa Papéis.
  7. Clique em Save.

Como ativar o IAP

  1. Na página Identity-Aware Proxy, em APLICATIVOS, encontre o balanceador de carga que exibe o instance group ao qual você quer restringir o acesso. Para ativar o IAP para um recurso,
    Para ativar o IAP:
  2. Na janela Ativar IAP que é exibida, clique em Ativar para confirmar que você quer proteger seu recurso com o IAP. Depois disso, será necessário usar credenciais de login para todas as conexões com o balanceador de carga. O acesso será concedido apenas às contas com o papel usuário do app da Web protegido pelo IAP no projeto.

Como ativar o IAP usando o SDK do Google Cloud

Nesta seção, você verá como usar a ferramenta de linha de comando gcloud para ativar o IAP para aplicativos do Compute Engine. Ainda não há suporte para o uso da ferramenta de linha de comando gcloud para ativar o IAP para o App Engine. Em vez disso, use o guia de início rápido do App Engine.

Receber a CLI do Google Cloud

Antes de configurar o projeto e o IAP, você precisa de uma versão atualizada da CLI gcloud. Consiga a CLI gcloud.

Configurar o projeto

Selecione o projeto em que você quer ativar o IAP e configure-o da seguinte maneira:

  1. Acesse a página Grupos de instâncias para garantir que as instâncias estejam em um grupo de instâncias.
  2. Defina os serviços de back-end.
  3. Configure o balanceamento de carga externo ou interno.
  4. Configure um cliente OAuth:
    1. Acesse API > Credenciais e selecione o projeto em que você quer ativar o IAP.
    2. Configure a tela de consentimento do OAuth:
      1. Go to the OAuth consent screen.
        Configure consent screen
      2. Under Support email, select the email address you want to display as a public contact. The email address must belong to the currently logged in user account or to a Google Group of which the currently logged in user belongs.
      3. Enter the Application name you want to display.
      4. Add any optional details you'd like.
      5. Click Save.

      To change information on the OAuth consent screen later, such as the product name or email address, repeat the preceding steps to configure the consent screen.

    3. Em Credenciais, clique em Criar credenciais> ID do cliente OAuth.
    4. Em Tipo de aplicativo, selecione Aplicativo da Web. Em seguida, adicione um Nome.
    5. Quando terminar de inserir detalhes, clique em Criar.
    6. Na janela Cliente OAuth, anote o ID do cliente e a chave secreta do cliente.
    7. Selecione o cliente novamente. Adicione o URL de redirecionamento universal ao campo de URIs de redirecionamento autorizados no formato https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect, em que CLIENT_ID é o ID do cliente OAuth.

Como ativar o IAP

  1. Use a CLI do Google Cloud para executar gcloud auth login.
  2. Siga o URL que aparece para fazer login.
  3. Depois de fazer login, copie o código de verificação que aparece e cole-o na linha de comando.
  4. Execute gcloud config set project PROJECT_ID no projeto em que você quer ativar o IAP.
  5. Para ativar o IAP, use o ID e a chave secreta do cliente OAuth criados anteriormente e execute o comando de escopo global ou regional.
    • Escopo global: gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET.
    • Escopo regional: gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET.

Depois de ativar o IAP, use a ferramenta de linha de comando gcloud para manipular a política de acesso do IAP usando o papel do IAM roles/iap.httpsResourceAccessor. Saiba mais sobre como gerenciar papéis e permissões.