Habilitar IAP para Compute Engine

gcloud

1. Ejecuta el siguiente comando para preparar un archivo policy.yaml. La política permite que los clientes con un intervalo de direcciones IP de 10.0.0.1/24 habiliten IAP en una regla de reenvío.

$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
httpRules:
  - from:
      sources:
      - ipBlocks:
        - prefix: "10.0.0.1"
          length: "24"
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF

1. Ejecuta el siguiente comando para habilitar IAP en una regla de reenvío.

gcloud beta network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Haz los cambios siguientes:

• PROJECT_ID: el Google Cloud ID de proyecto.
• LOCATION: la región en la que se encuentra el recurso.
• FORWARDING_RULE_ID: ID del recurso de regla de reenvío.
• AUTHZ_POLICY_NAME: nombre de la política de autorización.

API

1. Ejecuta el siguiente comando para preparar un archivo policy.json.

   cat << EOF > policy.json
   {
   "name": "AUTHZ_POLICY_NAME",
   "target": {
     "loadBalancingScheme": "INTERNAL_MANAGED",
     "resources": [
       "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
     ],
   },
   "action": "CUSTOM",
   "httpRules": [
     {
       "from": {
         "sources": {
           "ipBlocks": [
             {
               "prefix": "10.0.0.1",
               "length": "24"
             }
           ]
         }
       }
     }
   ],
   "customProvider": {
     "cloudIap": {}
   }
   }
   EOF
   

2. Ejecuta el siguiente comando para habilitar IAP en una regla de reenvío.

   curl -X PATCH \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d @policy.json \
   "https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
   

   Haz los cambios siguientes:

   • PROJECT_ID: el Google Cloud ID de proyecto.
   • LOCATION: la región en la que se encuentra el recurso.
   • FORWARDING_RULE_ID: ID del recurso de regla de reenvío.
   • AUTHZ_POLICY_NAME: nombre de la política de autorización.

consola

El cliente de OAuth gestionado por Google no está disponible al habilitar IAP mediante la Google Cloud consola.

Si no has configurado la pantalla de consentimiento de OAuth de tu proyecto, se te pedirá que lo hagas. Para configurar la pantalla de consentimiento de OAuth, consulta el artículo Configurar la pantalla de consentimiento de OAuth.

Si ejecutas clústeres de GKE con la versión 1.24 o posterior, puedes configurar IAP y GKE mediante la API Gateway de Kubernetes. Para ello, sigue estos pasos y, a continuación, las instrucciones de Configurar IAP. No configures BackendConfig.

Configurar el acceso a IAP

1. Ve a la página Identity-Aware Proxy.
   Ve a la página Identity-Aware Proxy
2. Selecciona el proyecto que quieras proteger con IAP.

3. Seleccione la casilla situada junto al recurso al que quiera conceder acceso.

   Si no ves un recurso, asegúrate de que se haya creado y de que el controlador de entrada de BackendConfig de Compute Engine esté sincronizado.

   Para verificar que el servicio de backend está disponible, ejecuta el siguiente comando de gcloud:

   gcloud compute backend-services list
4. En el panel lateral de la derecha, haz clic en Añadir principal.
5. En el cuadro de diálogo Añadir principales que aparece, introduce las direcciones de correo de los grupos o las personas que deban tener el rol Usuario de aplicaciones web protegidas mediante IAP en el proyecto.

   Los siguientes tipos de principales pueden tener este rol:

   • Cuenta de Google: usuario@gmail.com
   • Grupo de Google: admins@googlegroups.com
   • Cuenta de servicio: servidor@example.gserviceaccount.com
   • Dominio de Google Workspace: example.com

   Asegúrate de añadir una cuenta de Google a la que tengas acceso.

6. En la lista desplegable Roles, selecciona Cloud IAP > IAP-secured Web App User (Cloud IAP > Usuario de aplicación web protegida con IAP).
7. Haz clic en Guardar.

Activando IAP

1. En la página Identity-Aware Proxy (Proxy con reconocimiento de identidad), en APPLICATIONS (APLICACIONES), busca el balanceador de carga que sirve el instance group al que quieres restringir el acceso. Para activar IAP en un recurso, haz lo siguiente: Activa o desactiva el interruptor de la columna IAP.
   Para habilitar IAP, haz lo siguiente:
   • Al menos un protocolo de la configuración de frontend del balanceador de carga debe ser HTTPS. Consulta información sobre cómo configurar un balanceador de carga.
   • Necesitas los permisos compute.backendServices.update, clientauthconfig.clients.create y clientauthconfig.clients.getWithSecret. Estos permisos se conceden mediante roles, como el rol Editor de proyecto. Para obtener más información, consulta Gestionar el acceso a recursos protegidos por IAP.
2. En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que quieres que IAP proteja tu recurso. Una vez que hayas activado IAP, se requerirán credenciales de inicio de sesión para todas las conexiones con tu balanceador de carga. Solo se concederá acceso a las cuentas que tengan el rol Usuario de aplicaciones web protegidas mediante IAP en el proyecto.

gcloud

Antes de configurar tu proyecto y las compras en la aplicación, necesitas una versión actualizada de la CLI de gcloud. Para obtener instrucciones sobre cómo instalar gcloud CLI, consulta Instalar gcloud CLI.

1. Para autenticarte, usa la CLI de Google Cloud y ejecuta el siguiente comando.

   gcloud auth login

2. Para iniciar sesión, sigue la URL que aparece.
3. Después de iniciar sesión, copia el código de verificación que aparece y pégalo en la línea de comandos.
4. Ejecuta el siguiente comando para especificar el proyecto que contiene el recurso que quieres proteger con IAP.

   gcloud config set project PROJECT_ID

5. Para habilitar las compras en la aplicación, ejecuta el comando con ámbito global o regional.
   
   Ámbito global

   gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled

   Ámbito regional

   gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled

Una vez que hayas habilitado IAP, puedes usar la CLI de gcloud para modificar la política de acceso de IAP con el rol de IAM roles/iap.httpsResourceAccessor. Más información sobre cómo gestionar roles y permisos

API

1. Ejecuta el siguiente comando para preparar un archivo settings.json.

   cat << EOF > settings.json
   {
   "iap":
     {
       "enabled":true
     }
   }
   EOF
   

2. Ejecuta el siguiente comando para habilitar IAP.

   curl -X PATCH \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d @settings.json \
   "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"
   

Una vez que hayas habilitado IAP, puedes usar la CLI de Google Cloud para modificar la política de acceso de IAP con el rol de gestión de identidades y accesos roles/iap.httpsResourceAccessor. Más información sobre cómo gestionar roles y permisos