Compute Engine の IAP の有効化

このページでは、Identity-Aware Proxy（IAP）で Compute Engine インスタンスを保護する方法について説明します。

始める前に

Compute Engine で IAP を有効にするには、次のものが必要です。

課金が有効になっている Google Cloud コンソールプロジェクト。
ロードバランサで処理される 1 つ以上の Compute Engine インスタンスのグループ。
- 外部 HTTPS ロードバランサの設定についての詳細の確認。
- 内部 HTTP ロードバランサの設定についての詳細の確認。
ロードバランサのアドレスに登録されたドメイン名。
すべてのリクエストに ID があることを確認するアプリケーションコード。
- ユーザーの ID の取得をご覧ください。

Compute Engine インスタンスをまだ設定していない場合は、Compute Engine の IAP の設定をご覧ください。

IAP は、Google が管理する OAuth クライアントを使用してユーザーを認証します。組織内のユーザーのみが IAP 対応アプリケーションにアクセスできます。組織外のユーザーにアクセスを許可するには、外部アプリケーション用に IAP を有効にするをご覧ください。

IAP の有効化

Console

Google Cloud コンソールを使用して IAP を有効にする場合、Google が管理する OAuth クライアントは使用できません。

プロジェクトの OAuth 同意画面をまだ構成していない場合は、画面を構成するように指示されます。OAuth 同意画面を構成する方法については、OAuth 同意画面の設定をご覧ください。

IAP アクセス権の設定

[Identity-Aware Proxy] ページに移動します。
[Identity-Aware Proxy] ページに移動
IAP で保護するプロジェクトを選択します。
アクセスを許可するリソースの横にあるチェックボックスをオンにします。

リソースが表示されない場合は、リソースが作成され、BackendConfig Compute Engine Ingress コントローラが同期されていることを確認してください。

バックエンドサービスが利用可能であることを確認するには、次の gcloud コマンドを実行します。
gcloud compute backend-services list
右側のパネルで [プリンシパルを追加] をクリックします。
表示される [メンバーの追加] ダイアログで、プロジェクトに対する IAP で保護されたウェブアプリユーザーの役割を付与するグループ、または個人のメールアドレスを追加します。
このロールを持つことができるプリンシパルの種類は次のとおりです。
- Google アカウント: user@gmail.com
- Google グループ: admins@googlegroups.com
- サービスアカウント: server@example.gserviceaccount.com
- Google Workspace ドメイン: example.com
追加する Google アカウントは、自分がアクセスできるものにしてください。
[役割] のプルダウンリストから [Cloud IAP] > [IAP で保護されたウェブアプリユーザー] を選択します。
[保存] をクリックします。

IAP の有効化

[Identity-Aware Proxy] ページの [アプリケーション] で、アクセスを制限する instance group にサービスを提供するロードバランサを探します。リソースの IAP を有効にするには、[IAP] 列でオン / オフスイッチを切り替えます。
IAP を有効にするには:
- ロードバランサのフロントエンドの構成内では、少なくとも 1 つのプロトコルは HTTPS でなければなりません。ロードバランサの設定をご覧ください。
- compute.backendServices.update、clientauthconfig.clients.create、clientauthconfig.clients.getWithSecret 権限が必要です。上記の権限は、プロジェクト編集者などの役割によって付与されます。詳細については、IAP で保護されたリソースへのアクセスを管理するをご覧ください。
表示された [IAP の有効化] ウィンドウで [有効にする] をクリックし、IAP でリソースを保護することを確認します。IAP が有効になった後は、ロードバランサへのすべての接続でログイン認証情報が必要になります。プロジェクトで IAP で保護されたウェブアプリユーザーの役割を持つアカウントにのみアクセスが許可されます。

gcloud

プロジェクトと IAP を設定する前に、最新バージョンの gcloud CLI を入手する必要があります。gcloud CLI のインストール方法については、gcloud CLI のインストールをご覧ください。

認証するには、Google Cloud CLI を使用して次のコマンドを実行します。
```
gcloud auth login
```
表示された URL に従ってログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
次のコマンドを実行して、IAP で保護するリソースを含むプロジェクトを指定します。
```
gcloud config set project PROJECT_ID
```
IAP を有効にするには、グローバルスコープまたはリージョンスコープのコマンドを実行します。

グローバルスコープ
```
gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
```
リージョンスコープ
```
gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
```

IAP を有効にすると、gcloud CLI で roles/iap.httpsResourceAccessor の IAM ロールを使用して IAP アクセスポリシーを変更できます。詳しくは、ロールと権限の管理をご覧ください。

API

次のコマンドを実行して settings.json ファイルを準備します。
```
cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF
```

次のコマンドを実行して、IAP を有効にします。

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

IAP を有効にすると、Google Cloud CLI で roles/iap.httpsResourceAccessor の IAM ロールを使用して IAP アクセスポリシーを変更できます。詳しくは、ロールと権限の管理をご覧ください。