Se usó la API de Cloud Translation para traducir esta página.

Administra el acceso a los recursos protegidos con IAP

En esta página se describe cómo administrar el acceso individual o grupal a los recursos protegidos con Identity-Aware Proxy (IAP) a nivel de recursos.

Descripción general

IAP te permite configurar políticas de IAP para recursos individuales y de Cloud Run en un proyecto de Google Cloud. Es posible que las distintas aplicaciones de un proyecto tengan sus propias políticas de acceso, incluidos proyectos con aplicaciones como Compute Engine, Google Kubernetes Engine y App Engine. En el caso de las aplicaciones de App Engine, pueden aplicarse distintas políticas de acceso para las versiones individuales y los servicios.

Para administrar el nivel de proyecto y un mayor acceso, usa la página de administrador de IAM. Las listas de usuarios que tienen acceso (las “principales”) a nivel de proyecto se aplican a todos los recursos protegidos con IAP del proyecto.

Antes de comenzar

Necesitarás lo siguiente antes de comenzar:

Un recurso protegido con IAP al que deseas agregar acceso individual o grupal
Nombres de usuarios o grupos a los que deseas agregarles acceso

Activación y desactivación de IAP

Para activar y desactivar IAP, se necesitan ciertos permisos. La siguiente tabla muestra los permisos necesarios para cada tipo de aplicación.

Tipo de aplicación	Se requiere permiso
App Engine	appengine.applications.update
Compute Engine, Google Kubernetes Engine o Cloud Run	compute.backendServices.update

Estos permisos se otorgan mediante funciones, como el editor de proyectos, el administrador de App Engine y el administrador de red de Compute. Si bien estas funciones permiten activar o desactivar IAP, no tienen los permisos necesarios para modificar las políticas de acceso.

Además, para activar IAP con Google Cloud Console, es posible que también se requieran los permisos clientauthconfig.clients.create y clientauthconfig.clients.getWithSecret. La función de editor de proyectos otorga estos permisos.

Para obtener más información sobre cómo otorgar funciones, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.

Administra el acceso en Google Cloud Console

A fin de controlar el acceso a un recurso protegido con IAP mediante Google Cloud Console, sigue el proceso para agregar o quitar el acceso.

Agregar acceso

Ve a la página Identity-Aware Proxy.
Ir a la página Identity-Aware Proxy
Selecciona el recurso que deseas proteger con IAP. Las siguientes selecciones de recursos aseguran un conjunto determinado de ellos:
- Todos los servicios web: se protegerán todos los recursos del proyecto. Ten en cuenta que esto no es lo mismo que otorgar acceso a nivel de proyecto con la página de administrador de IAM. Un usuario que tenga la función de administrador de políticas de IAP en el nivel de recursos Todos los servicios web solo tendrá permisos para las políticas de IAP.
- Servicios de backend: se protegerán todos los servicios de backend.
En el panel de información de la derecha, agrega las direcciones de correo electrónico de los grupos o las personas a las que deseas otorgar una función de Identity and Access Management (IAM) para el recurso.
Para aplicar las funciones de la política de acceso a la principal, selecciona una de las siguientes funciones en el menú desplegable Seleccionar una función:
- Propietario: Otorga el mismo acceso que la función de Administrador de políticas de IAP. Usa en cambio la función de administrador de políticas de IAP. Esta función solo permite modificar políticas, no otorga acceso a la aplicación.
- Administrador de políticas de IAP: Otorga derechos de administrador sobre las políticas de IAP.
- Usuario de aplicaciones web protegido con IAP: Otorga acceso a la aplicación y a otros recursos HTTPS que usan IAP.
- Revisor de seguridad: Otorga permiso para ver y auditar las políticas de IAP.
Cuando termines de agregar direcciones de correo electrónico y de configurar las funciones, haz clic en Agregar.

Quitar acceso

Ve a la página Identity-Aware Proxy.
Ir a la página Identity-Aware Proxy
Selecciona el recurso que está protegido con IAP.
En el panel de información de la derecha, selecciona la sección que corresponda a la función que deseas quitar de una principal.
En la sección expandida, junto a cada usuario o nombre de grupo para el que deseas quitar la función, haz clic en Quitar.
En el cuadro de diálogo Quitar principal que aparece, haz clic en Quitar.

Administra el acceso con API

IAM proporciona un conjunto estándar de métodos para crear y administrar políticas de control de acceso en los recursos de Google Cloud.

Recursos y permisos

La API de IAP te permite aplicar permisos de IAM a recursos individuales en un proyecto protegido con IAP. Los permisos de IAM otorgados a un nivel determinado se aplican a todos los niveles por debajo de este. Por ejemplo, un permiso otorgado a nivel de proyecto se aplica a todos los recursos de Google Cloud del proyecto. El acceso a nivel de proyecto y superior se administra en la página de administrador de IAM, pero se mostrará en la página de administrador de IAP.

Los usuarios necesitan ciertos permisos para acceder a una aplicación protegida con IAP. Para otorgar estos permisos, los administradores pueden usar una API a fin de actualizar las políticas de IAM. El permiso iap.webServiceVersions.accessViaIAP otorga acceso al usuario a una aplicación. Si usas IAP para controlar el acceso a servicios administrativos como SSH y RDP, los usuarios necesitarán el permiso iap.tunnelInstances.accessViaIAP.

Cada recurso de IAP tiene su propio permiso getIamPolicy y setIamPolicy que le otorga la capacidad de administrar las políticas de acceso para ese recurso y sus elementos secundarios.

Para llamar a la API de IAM, crea una llamada con una ruta de URL hacia un recurso. El siguiente es un ejemplo del tipo de llamada que recibe la política de IAM para acceder a una versión del servicio de la aplicación App Engine.

https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/
appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:getIamPolicy

En la siguiente tabla, se enumeran los tipos de recursos admitidos y los permisos necesarios para llamar a la API de IAM.

Tipo de recurso	Permisos
Todas las aplicaciones web protegidas con IAP del proyecto Esto es igual a la casilla de verificación Todos los servicios web de la página de administración de IAP. Ruta de acceso https://iap.googleapis.com/v1beta1/projects/`PROJECT_NUMBER`/iap_web	`iap.web.getIamPolicy` `iap.web.setIamPolicy`
Un servicio de backend. Es igual a la casilla de verificación Servicio de backend en la página de administrador de IAP. Rutas Alcance global: https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_web/compute Alcance regional: https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_web/compute-`REGION_NAME`	`iap.webTypes.getIamPolicy` `iap.webTypes.setIamPolicy`
Una aplicación de App Engine Es igual a la casilla de verificación Aplicación de App Engine en la página de administrador de IAP. Ruta https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_web/appengine-APP_ID	`iap.webTypes.getIamPolicy` `iap.webTypes.setIamPolicy`
Un servicio de backend de Compute Engine La ruta del servicio de backend puede especificar el ID del servicio de backend o el nombre del servicio de backend. Rutas Alcance global: https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_web/compute/services/ `BACKEND_SERVICE_ID or BACKEND_SERVICE_NAME` Alcance regional: https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_web/compute-`REGION_NAME`/ services/`BACKEND_SERVICE_ID or BACKEND_SERVICE_NAME`	`iap.webServices.getIamPolicy` `iap.webServices.setIamPolicy`
Un servicio de aplicación de App Engine Ruta de acceso https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_web/appengine-`APP_ID`/ services/`APP_SERVICE_ID`	`iap.webServices.getIamPolicy` `iap.webServices.setIamPolicy`
Una versión del servicio de App Engine Compute Engine no es compatible con el control de versiones. Ruta https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_web/appengine-`APP_ID`/ services/`APP_SERVICE_ID`/versions/`VERSION_ID`	`iap.webServiceVersions.getIamPolicy` `iap.webServiceVersions.setIamPolicy`
Todas las instancias de VM protegidas por IAP en el proyecto . Esto es igual a la casilla de verificación Todos los recursos de túnel de la página de administración de IAP. Ruta https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_tunnel	`iap.tunnel.getIamPolicy` `iap.tunnel.setIamPolicy`
Una zona que tiene al menos una instancia de VM Es igual a una casilla de verificación de nombre de zona en la página de administrador de IAP, por ejemplo, `us-central1-c`. Ruta https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_tunnel/zones/`ZONE_NAME`	`iap.tunnelZones.getIamPolicy` `iap.tunnelZones.setIamPolicy`
Una instancia de VM individual Ruta de acceso https://iap.googleapis.com/v1beta1/projects/ `PROJECT_NUMBER`/iap_tunnel/zones/`ZONE_NAME` /instances/`INSTANCE_ID or INSTANCE_NAME`	`iap.tunnelInstances.getIamPolicy` `iap.tunnelInstances.setIamPolicy`
Una región que tiene, al menos, un grupo de destino, por ejemplo, `us-central1` Ruta https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_tunnel/locations/`REGION_NAME`	`iap.tunnelLocations.getIamPolicy` `iap.tunnelLocations.setIamPolicy`
Un grupo de destino individual Ruta de acceso https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_tunnel/locations/`REGION_NAME` /destGroups/`GROUP_NAME`	`iap.tunnelDestGroups.getIamPolicy` `iap.tunnelDestGroups.setIamPolicy`

Roles

En la siguiente tabla, se enumeran las funciones de IAM de IAP con una lista correspondiente de todos los permisos específicos de IAP que incluye cada función. Para obtener más información sobre las funciones de IAM, consulta Administración de funciones y permisos.

Rol	Permisos incluidos	Descripción
Usuario de aplicación web protegida con IAP (`roles/iap.httpsResourceAccessor`)	`iap.webServiceVersions.accessViaIAP`	Otorga acceso a los recursos de App Engine y Compute Engine.
Usuario de túnel protegido con IAP (`roles/iap.tunnelResourceAccessor`)	`iap.tunnelInstances.accessViaIAP` `iap.tunnelDestGroups.accessViaIAP`	Otorga acceso a las instancias de VM protegidas con IAP.
Administrador de políticas de IAP (`roles/iap.admin`)	`iap.web.getIamPolicy` `iap.web.setIamPolicy` `iap.webTypes.getIamPolicy` `iap.webTypes.setIamPolicy` `iap.webServices.getIamPolicy` `iap.webServices.setIamPolicy` `iap.webServiceVersions.getIamPolicy` `iap.webServiceVersions.setIamPolicy` `iap.tunnel.getIamPolicy` `iap.tunnel.setIamPolicy` `iap.tunnelZones.getIamPolicy` `iap.tunnelZones.setIamPolicy` `iap.tunnelInstances.getIamPolicy` `iap.tunnelInstances.setIamPolicy`	Otorga derechos administrativos de IAP para administrar las políticas de acceso de IAP de los recursos.

Acceso público

Para que todos tengan acceso a un recurso, otorga una función a una de las siguientes principales:

allAuthenticatedUsers: Cualquier persona que esté autenticada con una Cuenta de Google o una cuenta de servicio.
allUsers: Cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados. El encabezado firmado para la solicitud no tendrá una reclamación sub ni email.

Si se concede acceso público, IAP no generará registros de Cloud Audit Logging para la solicitud.

Actualmente, las vinculaciones que otorgan acceso público no pueden tener asociada una condición. Por ejemplo, no es válida una política que permita a cualquier persona acceder a un recurso si la ruta de la solicitud comienza con /public/.