Administra el acceso a los recursos protegidos con IAP

En esta página se describe cómo administrar el acceso individual o grupal a los recursos protegidos con Identity-Aware Proxy (IAP) a nivel de recursos.

Descripción general

IAP te permite configurar políticas de IAP para recursos individuales y de Cloud Run en un proyecto de Google Cloud. Es posible que las distintas aplicaciones de un proyecto tengan sus propias políticas de acceso, incluidos proyectos con aplicaciones como Compute Engine, Google Kubernetes Engine y App Engine. En el caso de las aplicaciones de App Engine, pueden aplicarse distintas políticas de acceso para las versiones individuales y los servicios.

Para administrar el nivel de proyecto y un mayor acceso, usa la página de administrador de IAM. Las listas de usuarios que tienen acceso (las “principales”) a nivel de proyecto se aplican a todos los recursos protegidos con IAP del proyecto.

Antes de comenzar

Necesitarás lo siguiente antes de comenzar:

  • Un recurso protegido con IAP al que deseas agregar acceso individual o grupal.
  • Nombres de usuarios o grupos a los que deseas agregarles acceso

Activación y desactivación de IAP

Para activar y desactivar IAP, se necesitan ciertos permisos. La siguiente tabla muestra los permisos necesarios para cada tipo de aplicación.

Tipo de aplicación Se requiere permiso
App Engine appengine.applications.update
Compute Engine, Google Kubernetes Engine o Cloud Run compute.backendServices.update

Estos permisos se otorgan mediante funciones, como el editor de proyectos, el administrador de App Engine y el administrador de red de Compute. Si bien estas funciones permiten activar o desactivar IAP, no tienen los permisos necesarios para modificar las políticas de acceso.

Además, activar IAP con la consola de Google Cloud también puede requerir los permisos clientauthconfig.clients.create y clientauthconfig.clients.getWithSecret. La función de editor de proyectos otorga estos permisos.

Para obtener más información sobre cómo otorgar funciones, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.

Administra el acceso en la consola de Google Cloud

Si deseas controlar el acceso a un recurso protegido con IAP con la consola de Google Cloud, sigue el proceso para agregar o quitar el acceso.

Agregar acceso

  1. Ve a la página Identity-Aware Proxy.
    Ir a la página Identity-Aware Proxy

  2. Selecciona el recurso que deseas proteger con IAP. Las siguientes selecciones de recursos aseguran un conjunto determinado de ellos:

    • Todos los servicios web: se protegerán todos los recursos del proyecto. Ten en cuenta que esto no es lo mismo que otorgar acceso a nivel de proyecto con la página de administrador de IAM. Un usuario que tenga la función de administrador de políticas de IAP en el nivel de recursos Todos los servicios web solo tendrá permisos para las políticas de IAP.

    • Servicios de backend: se protegerán todos los servicios de backend.

  3. En el panel de información de la derecha, agrega las direcciones de correo electrónico de los grupos o las personas a las que deseas otorgar una función de Identity and Access Management (IAM) para el recurso.

  4. Aplica los roles de la política de acceso a la principal. Para ello, selecciona una de las siguientes funciones en el menú desplegable Selecciona un rol:

    • Propietario: Otorga el mismo acceso que la función de Administrador de políticas de IAP. Usa en cambio la función de administrador de políticas de IAP. Esta función solo permite modificar políticas, no otorga acceso a la aplicación.

    • Administrador de políticas de IAP: Otorga derechos de administrador sobre las políticas de IAP.

    • Usuario de aplicaciones web protegido con IAP: Otorga acceso a la aplicación y a otros recursos HTTPS que usan IAP.

    • Revisor de seguridad: Otorga permiso para ver y auditar las políticas de IAP.

  5. Cuando termines de agregar direcciones de correo electrónico y de configurar las funciones, haz clic en Agregar.

Quitar acceso

  1. Ve a la página Identity-Aware Proxy.
    Ir a la página Identity-Aware Proxy
  2. Selecciona el recurso que está protegido con IAP.
  3. En el panel de información de la derecha, selecciona la sección que corresponda al rol que deseas quitar de una principal.
  4. En la sección expandida, junto a cada usuario o nombre de grupo para el que deseas quitar la función, haz clic en Quitar.
  5. En el diálogo Quitar principal que aparece, haz clic en Quitar.

Administra el acceso con API

IAM proporciona un conjunto estándar de métodos para crear y administrar políticas de control de acceso en los recursos de Google Cloud.

Recursos y permisos

La API de IAP te permite aplicar permisos de IAM a recursos individuales en un proyecto protegido con IAP. Los permisos de IAM otorgados a un nivel determinado se aplican a todos los niveles por debajo de este. Por ejemplo, un permiso otorgado a nivel de proyecto se aplica a todos los recursos de Google Cloud del proyecto. El acceso a nivel de proyecto y superior se administra en la página de administrador de IAM, pero se mostrará en la página de administrador de IAP.

Los usuarios necesitan ciertos permisos para acceder a una aplicación protegida por IAP. Para otorgar estos permisos, los administradores pueden usar una API a fin de actualizar las políticas de IAM. El permiso iap.webServiceVersions.accessViaIAP otorga acceso de usuario a una app. Si usas IAP para controlar el acceso a servicios administrativos como SSH y RDP, los usuarios necesitarán el permiso iap.tunnelInstances.accessViaIAP.

Cada recurso de IAP tiene su propio permiso getIamPolicy y setIamPolicy que le otorga la capacidad de administrar las políticas de acceso para ese recurso y sus elementos secundarios.

Para llamar a la API de IAM, crea una llamada con una ruta de URL hacia un recurso. El siguiente es un ejemplo del tipo de llamada que recibe la política de IAM para acceder a una versión del servicio de la aplicación App Engine.

https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/
appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:getIamPolicy

En la siguiente tabla, se enumeran los tipos de recursos admitidos y los permisos necesarios para llamar a la API de IAM.

Tipo de recurso Permisos
Todas las aplicaciones web protegidas con IAP del proyecto
Esto es igual a la casilla de verificación Todos los servicios web de la página de administración de IAP.

Ruta 

https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web
 iap.web.getIamPolicy

iap.web.setIamPolicy
Un servicio de backend
Esto es lo mismo que la casilla de verificación Servicio de backend en la página de administrador de IAP.

Rutas de acceso
Alcance global:

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_web/compute

Alcance regional:

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_web/compute-REGION_NAME
 iap.webTypes.getIamPolicy

iap.webTypes.setIamPolicy
Una aplicación de App Engine
Esto es lo mismo que la casilla de verificación Aplicación de App Engine en la página de administrador de IAP.

Ruta 

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_web/appengine-APP_ID
 iap.webTypes.getIamPolicy

iap.webTypes.setIamPolicy
Un servicio de backend de Compute Engine
La ruta del servicio de backend puede especificar el ID del servicio de backend o el nombre del servicio de backend.

Rutas
Alcance global:

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_web/compute/services/
BACKEND_SERVICE_ID or BACKEND_SERVICE_NAME

Alcance regional:

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_web/compute-REGION_NAME/
services/BACKEND_SERVICE_ID or BACKEND_SERVICE_NAME
 iap.webServices.getIamPolicy

iap.webServices.setIamPolicy
Un servicio de app de App Engine

Ruta 

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_web/appengine-APP_ID/
services/APP_SERVICE_ID
 iap.webServices.getIamPolicy

iap.webServices.setIamPolicy
Una versión del servicio de App Engine
Compute Engine no admite el control de versiones.

Ruta 

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_web/appengine-APP_ID/
services/APP_SERVICE_ID/versions/VERSION_ID
 iap.webServiceVersions.getIamPolicy

iap.webServiceVersions.setIamPolicy
Cada instancia de VM protegida con IAP en el proyecto
Esto es igual a la casilla de verificación Todos los recursos de túnel en la página de administrador de IAP.

Ruta 

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_tunnel
 iap.tunnel.getIamPolicy

iap.tunnel.setIamPolicy
Una zona que tenga al menos una instancia de VM
Es lo mismo que la casilla de verificación del nombre de una zona en la página de administrador de IAP, por ejemplo, us-central1-c.

Ruta 

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_tunnel/zones/ZONE_NAME
 iap.tunnelZones.getIamPolicy

iap.tunnelZones.setIamPolicy
Una instancia de VM individual

Ruta de acceso 

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_tunnel/zones/ZONE_NAME
/instances/INSTANCE_ID or INSTANCE_NAME
 iap.tunnelInstances.getIamPolicy

iap.tunnelInstances.setIamPolicy
Una región que tenga al menos un grupo de destino, por ejemplo, us-central1

Ruta 

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_tunnel/locations/REGION_NAME
 iap.tunnelLocations.getIamPolicy

iap.tunnelLocations.setIamPolicy
Un grupo de destino individual

Ruta 

https://iap.googleapis.com/v1/projects/
PROJECT_NUMBER/iap_tunnel/locations/REGION_NAME
/destGroups/GROUP_NAME
 iap.tunnelDestGroups.getIamPolicy

iap.tunnelDestGroups.setIamPolicy

Roles

En la siguiente tabla, se enumeran las funciones de IAM de IAP con una lista correspondiente de todos los permisos específicos de IAP que incluye cada función. Para obtener más información sobre las funciones de IAM, consulta Administración de funciones y permisos.

Rol Permisos incluidos Descripción
Usuario de aplicación web protegida con IAP (roles/iap.httpsResourceAccessor) iap.webServiceVersions.accessViaIAP Otorga acceso a los recursos de App Engine y Compute Engine.
Usuario de túnel protegido con IAP (roles/iap.tunnelResourceAccessor) iap.tunnelInstances.accessViaIAP
iap.tunnelDestGroups.accessViaIAP		 Otorga acceso a las instancias de VM protegidas por IAP.
Administrador de políticas de IAP (roles/iap.admin) iap.web.getIamPolicy
iap.web.setIamPolicy
iap.webTypes.getIamPolicy
iap.webTypes.setIamPolicy
iap.webServices.getIamPolicy
iap.webServices.setIamPolicy
iap.webServiceVersions.getIamPolicy
iap.webServiceVersions.setIamPolicy
iap.tunnel.getIamPolicy
iap.tunnel.setIamPolicy
iap.tunnelZones.getIamPolicy
iap.tunnelZones.setIamPolicy
iap.tunnelInstances.getIamPolicy
iap.tunnelInstances.setIamPolicy		 Otorga derechos administrativos de IAP para administrar las políticas de acceso de IAP de los recursos.

Acceso público

Para que todos tengan acceso a un recurso, otorga un rol a una de las siguientes principales:

  • allAuthenticatedUsers: Cualquier persona que esté autenticada con una Cuenta de Google o una cuenta de servicio.
  • allUsers: Cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados. El encabezado firmado para la solicitud no tendrá una reclamación sub ni email.

Si se concede acceso público, IAP no generará registros de Cloud Audit Logging para la solicitud.

Actualmente, las vinculaciones que otorgan acceso público no pueden tener asociada una condición. Por ejemplo, no es válida una política que permita a cualquier persona acceder a un recurso si la ruta de la solicitud comienza con /public/.