Administra el acceso a los recursos protegidos con IAP

En esta página se describe cómo administrar el acceso individual o grupal a los recursos protegidos con Identity-Aware Proxy (IAP) a nivel de recursos.

Descripción general

IAP te permite configurar políticas de IAP para recursos individuales en un proyecto de Google Cloud. Es posible que las distintas aplicaciones de un proyecto tengan sus propias políticas de acceso, incluidos proyectos con aplicaciones como Compute Engine, Google Kubernetes Engine y App Engine. En el caso de las aplicaciones de App Engine, pueden aplicarse distintas políticas de acceso para las versiones individuales y los servicios.

Para administrar el nivel de proyecto y un mayor acceso, usa la página de administrador de IAM. Las listas de usuarios que tienen acceso (los “miembros”) a nivel de proyecto se aplican a todos los recursos protegidos con IAP del proyecto.

Antes de comenzar

Necesitarás lo siguiente antes de comenzar:

  • Un recurso protegido con IAP al que deseas agregarle acceso individual o grupal
  • Nombres de usuarios o grupos a los que deseas agregarles acceso

Activación y desactivación de IAP

Para activar y desactivar IAP, se necesitan ciertos permisos. La siguiente tabla muestra los permisos necesarios para cada tipo de aplicación.

Tipo de aplicación Se requiere permiso
App Engine appengine.applications.update
Compute Engine o Google Kubernetes Engine compute.backendServices.update

Estos permisos se otorgan mediante funciones, como el editor de proyectos, el administrador de App Engine y el administrador de red de Compute. Si bien estas funciones permiten activar o desactivar IAP, no tienen los permisos necesarios para modificar las políticas de acceso.

Además, activar IAP con Cloud Console también puede requerir los permisos clientauthconfig.clients.create y clientauthconfig.clients.getWithSecret. La función de editor de proyectos otorga estos permisos.

Para obtener más información sobre cómo otorgar funciones, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.

Administra el acceso en Cloud Console

Para controlar el acceso a un recurso protegido con IAP mediante Cloud Console, sigue el proceso a fin de agregar o quitar el acceso.

Agrega un acceso

  1. Ve a la página Identity-Aware Proxy.
    Ir a la página Identity-Aware Proxy

  2. Selecciona el recurso que deseas proteger con IAP. Las siguientes selecciones de recursos aseguran un conjunto determinado de ellos:

    • Todos los servicios web: se protegerán todos los recursos del proyecto. Ten en cuenta que esto no es lo mismo que otorgar acceso a nivel de proyecto con la página de administrador de IAM. Un usuario que tenga la función de administrador de políticas de IAP en el nivel de recursos Todos los servicios web solo tendrá permisos para las políticas de IAP.

    • Servicios de backend: se protegerán todos los servicios de backend.

  3. En el panel de información de la derecha, agrega las direcciones de correo electrónico de los grupos o las personas a las que deseas otorgar una función de administración de identidades y accesos (IAM) para el recurso.

  4. Aplica las funciones asignadas al miembro respecto de las políticas de acceso. Para ello, selecciona una de las siguientes funciones en el menú desplegable Seleccionar una función:

    • Propietario: Otorga el mismo acceso que la función de Administrador de políticas de IAP. Usa en cambio la función de administrador de políticas de IAP. Esta función solo permite modificar políticas, no otorga acceso a la aplicación.

    • Administrador de políticas de IAP: Otorga derechos de administrador sobre las políticas de IAP.

    • Usuario de aplicaciones web protegido con IAP: Otorga acceso a la aplicación y a otros recursos HTTPS que usan IAP.

    • Revisor de seguridad: Otorga permiso para ver y auditar las políticas de IAP.

  5. Cuando termines de agregar direcciones de correo electrónico y de configurar las funciones, haz clic en Agregar.

Quita un acceso

  1. Ve a la página Identity-Aware Proxy.
    Ir a la página Identity-Aware Proxy
  2. Selecciona el recurso que está protegido con IAP.
  3. En el panel de información de la derecha, elige la sección correspondiente a la función que deseas quitar al miembro.
  4. En la sección expandida, junto a cada usuario o nombre de grupo para el que deseas quitar la función, haz clic en Quitar.
  5. En el cuadro de diálogo Quitar miembro que aparece, haz clic en Quitar.

Administra el acceso con API

IAM proporciona un conjunto estándar de métodos para crear y administrar políticas de control de acceso en los recursos de Google Cloud.

Recursos y permisos

La API de IAP te permite aplicar permisos de IAM a recursos individuales en un proyecto protegido con IAP. Los permisos de IAM otorgados a un nivel determinado se aplican a todos los niveles por debajo de este. Por ejemplo, un permiso otorgado a nivel de proyecto se aplica a todos los recursos de Google Cloud del proyecto. El acceso a nivel de proyecto y superior se administra en la página de administrador de IAM, pero se mostrará en la página de administrador de IAP.

Los usuarios necesitan ciertos permisos para acceder a una aplicación protegida con IAP y usan métodos que actualizan las políticas de IAM. El permiso iap.webServiceVersions.accessViaIAP otorga acceso a la aplicación. Si usas IAP para controlar el acceso a servicios administrativos como SSH y RDP, los usuarios necesitarán el permiso iap.tunnelInstances.accessViaIAP.

Cada recurso de IAP tiene su propio permiso getIamPolicy y setIamPolicy que le otorga la capacidad de administrar las políticas de acceso para ese recurso y sus elementos secundarios.

Para llamar a la API de IAM, crea una llamada con una ruta de URL hacia un recurso. El siguiente es un ejemplo del tipo de llamada que recibe la política de IAM para acceder a una versión del servicio de la aplicación App Engine.

https://iap.googleapis.com/v1beta1/projects/PROJECT_NUMBER/iap_web/
appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:getIamPolicy
Tipo de recurso Descripción Ruta Permisos
iap.web Todas las aplicaciones web protegidas con IAP del proyecto. Esto es igual a la casilla de verificación Todos los servicios web en la página de administrador de IAP.

https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_web
iap.web.getIamPolicy

iap.web.setIamPolicy
iap.webTypes Puede ser un servicio de backend o una aplicación de App Engine. Esto es igual a las casillas de verificación Servicio de backend y Aplicación de App Engine en la página de administrador de IAP. Servicio de backend


https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_web/compute


Aplicación de App Engine


https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_web/appengine-APP_ID
iap.webTypes.getIamPolicy

iap.webTypes.setIamPolicy
iap.webServices Un servicio de backend de Compute Engine o un servicio de aplicación de App Engine. La ruta del servicio de backend puede especificar el ID del servicio de backend o el nombre del servicio de backend. Servicios de backend


https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_web/compute/services/
BACKEND_SERVICE_ID or BACKEND_SERVICE_NAME


Aplicación de App Engine


https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_web/appengine-APP_ID/
services/APP_SERVICE_ID
iap.webServices.getIamPolicy

iap.webServices.setIamPolicy
iap.webServiceVersions Una versión del servicio de App Engine. Compute Engine no es compatible con el control de versiones.

https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_web/appengine-APP_ID/
services/APP_SERVICE_ID/versions/VERSION_ID
iap.webServiceVersions.getIamPolicy

iap.webServiceVersions.setIamPolicy
iap.tunnel Cada instancia protegida con IAP en el proyecto. Es igual a la casilla de verificación Todos los recursos de túnel en la página de administrador de IAP.

https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_tunnel
iap.tunnel.getIamPolicy

iap.tunnel.setIamPolicy
iap.tunnelZones Todas las zonas que tengan al menos una instancia. Esta es la misma casilla de verificación del nombre de una zona en la página de administrador de IAP, por ejemplo, us-central1-c.

https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_tunnel/zones/ZONE_NAME
iap.tunnelZones.getIamPolicy

iap.tunnelZones.setIamPolicy
iap.tunnelInstances Una instancia individual.

https://iap.googleapis.com/v1beta1/projects/
PROJECT_NUMBER/iap_tunnel/zones/ZONE_NAME
/instances/INSTANCE_ID or INSTANCE_NAME
iap.tunnelInstances.getIamPolicy

iap.tunnelInstances.setIamPolicy

Funciones

En la siguiente tabla, se enumeran las funciones de IAM de IAP con una lista correspondiente de todos los permisos específicos de IAP que incluye cada función. Para obtener más información sobre las funciones de IAM, consulta Administración de funciones y permisos.

Función Permisos incluidos Descripción
Usuario de aplicación web protegida con IAP (roles/iap.httpsResourceAccessor) iap.webServiceVersions.accessViaIAP Otorga acceso a los recursos de App Engine y Compute Engine.
Usuario de túnel protegido con IAP (roles/iap.tunnelResourceAccessor) iap.tunnelInstances.accessViaIAP Otorga acceso a recursos de túnel que usan IAP.
Administrador de políticas de IAP (roles/iap.admin) iap.web.getIamPolicy
iap.web.setIamPolicy
iap.webTypes.getIamPolicy
iap.webTypes.setIamPolicy
iap.webServices.getIamPolicy
iap.webServices.setIamPolicy
iap.webServiceVersions.getIamPolicy
iap.webServiceVersions.setIamPolicy
Otorga derechos administrativos de IAP para administrar las políticas de acceso de IAP de los recursos.

Acceso público

Para que todos tengan acceso a un recurso, agrega uno de los siguientes miembros a su lista de acceso:

  • allAuthenticatedUsers: Cualquier persona que esté autenticada con una Cuenta de Google o una cuenta de servicio.
  • allUsers: Cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados. El encabezado firmado para la solicitud no tendrá una reclamación sub ni email.

Si se concede acceso público, IAP no generará registros de Cloud Audit Logging para la solicitud.

Actualmente, las vinculaciones que otorgan acceso público no pueden tener asociada una condición. Por ejemplo, no es válida una política que permita a cualquier persona acceder a un recurso si la ruta de la solicitud comienza con /public/.