Gérer les accès aux ressources sécurisées par IAP

Cette page explique comment gérer les accès individuels ou de groupe aux ressources sécurisées par Identity-Aware Proxy (IAP) au niveau des ressources.

Présentation

IAP vous permet de configurer des stratégies IAP pour des ressources individuelles et Cloud Run dans un projet Google Cloud. Plusieurs applications d'un projet peuvent être chacune soumises à des stratégies d'accès différentes. Il s'agit entre autres de projets comportant des applications Compute Engine, Google Kubernetes Engine et App Engine. Pour les applications App Engine, différentes stratégies d'accès peuvent s'appliquer à chaque version et service.

Pour gérer un niveau de projet et un rôle d'accès supérieur, consultez la page d'administration IAM. Les listes des utilisateurs disposant d'un accès (les "comptes principaux") au niveau du projet s'appliquent à toutes les ressources du projet sécurisées par IAP.

Avant de commencer

Avant de commencer, vous aurez besoin des éléments suivants :

Ressource sécurisée par IAP à laquelle vous souhaitez ajouter un accès individuel ou de groupe
Des noms d'utilisateur ou de groupe pour lesquels vous souhaitez ajouter des accès

Activer et désactiver IAP

Pour activer et désactiver IAP, certaines autorisations sont requises. Le tableau ci-dessous indique les autorisations nécessaires pour chaque type d'application.

Type d'application	Autorisation requise
App Engine	appengine.applications.update
Compute Engine, Google Kubernetes Engine ou Cloud Run	compute.backendServices.update

Ces autorisations sont accordées par des rôles (par exemple, Éditeur de projet, Administrateur App Engine et Administrateur de réseaux Compute). Même si ces rôles permettent d'activer et de désactiver IAP, ils ne disposent pas des autorisations nécessaires pour modifier les stratégies d'accès.

De plus, l'activation d'IAP avec la console Google Cloud peut également nécessiter les autorisations clientauthconfig.clients.create et clientauthconfig.clients.getWithSecret. Ces autorisations sont accordées par le rôle Éditeur de projet.

Pour en savoir plus sur l'attribution de rôles, consultez la page Accorder, modifier et révoquer les accès.

Gérer les accès dans la console Google Cloud

Pour contrôler l'accès à une ressource sécurisée par IAP avec la console Google Cloud, suivez la procédure d'ajout ou de suppression d'accès.

Ajouter des accès

Accédez à la page Identity-Aware Proxy.
Accéder à la page "Identity-Aware Proxy"
Sélectionnez le projet que vous souhaitez sécuriser avec IAP. La sélection de ressources suivante sécurise un groupe défini de ressources :
- Tous les services Web : toutes les ressources du projet seront sécurisées. Notez que ce n'est pas la même chose que d'accorder un accès au niveau du projet via la page d'administration IAM. Un utilisateur disposant du rôle Administrateur de stratégies IAP au niveau de la ressource Tous les services Web n'a que les autorisations pour les stratégies IAP.
- Services backend : tous les services backend seront sécurisés.
Dans le panneau d'informations situé à droite, ajoutez les adresses e-mail des groupes ou des personnes auxquels vous souhaitez attribuer un rôle IAM (Identity and Access Management) pour la ressource.
Appliquez des rôles de stratégie d'accès au compte principal en sélectionnant l'un des rôles suivants dans la liste déroulante Sélectionnez un rôle:
- Propriétaire : accorde le même accès que le rôle d'administrateur de stratégies IAP. Utilisez plutôt le rôle Administrateur de stratégies IAP. Ce rôle ne permet que de modifier les stratégies et ne donne pas accès à l'application.
- Administrateur de stratégies IAP : accorde des droits d'administrateur sur les stratégies IAP.
- Utilisateur de l'application Web sécurisée par IAP : accorde l'accès à l'application et à d'autres ressources HTTPS utilisant IAP.
- Examinateur de sécurité : accorde l'autorisation d'afficher et d'auditer des stratégies IAP.
Une fois les adresses e-mail ajoutées et les rôles définis, cliquez sur Ajouter.

Supprimer l'accès

Accédez à la page Identity-Aware Proxy.
Accéder à la page "Identity-Aware Proxy"
Sélectionnez la ressource sécurisée avec IAP.
Dans le panneau d'informations situé à droite, sélectionnez la section correspondant au rôle que vous souhaitez supprimer d'un compte principal.
Dans la section développée, à côté de chaque nom d'utilisateur ou de groupe auquel vous souhaitez retirer le rôle, cliquez sur Supprimer.
Dans la boîte de dialogue Supprimer le compte principal qui s'affiche, cliquez sur Supprimer.

Gérer l'accès avec l'API

IAM offre un ensemble standard de méthodes pour la création et la gestion de stratégies de contrôle d'accès sur les ressources Google Cloud.

Ressources et autorisations

L'API IAP vous permet d'appliquer des autorisations IAM à des ressources individuelles dans un projet sécurisé par IAP. Les autorisations IAM accordées à un certain niveau s'appliquent à tous les niveaux inférieurs. Par exemple, une autorisation accordée au niveau du projet s'applique à toutes les ressources Google Cloud de ce projet. Les accès accordés au niveau du projet et des niveaux supérieurs sont gérés sur la page d'administration IAM, mais s'affichent sur la page d'administration IAP.

Les utilisateurs ont besoin de certaines autorisations pour accéder à une application sécurisée par IAP. Pour accorder ces autorisations, les administrateurs peuvent mettre à jour les stratégies IAM à l'aide d'une API. L'autorisation iap.webServiceVersions.accessViaIAP permet à l'utilisateur d'accéder à une application. Si vous utilisez IAP pour contrôler l'accès à des services d'administration tels que SSH et RDP, les utilisateurs auront besoin de l'autorisation iap.tunnelInstances.accessViaIAP.

Chaque ressource IAP dispose de ses propres autorisations getIamPolicy et setIamPolicy grâce auxquelles il est possible de gérer les stratégies d'accès de la ressource en question et de ses enfants.

Pour appeler l'API IAM, créez un appel avec un chemin d'URL vers une ressource. Voici un exemple d'appel qui récupère la stratégie IAM pour une version de service de l'application App Engine.

https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/
appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:getIamPolicy

Le tableau suivant répertorie les types de ressources compatibles, ainsi que les autorisations requises pour appeler l'API IAM.

Type de ressource	Autorisations
Toutes les applications Web sécurisées par IAP dans le projet Cela revient à cocher la case Tous les services Web sur la page d'administration IAP. Chemin https://iap.googleapis.com/v1/projects/`PROJECT_NUMBER`/iap_web	`iap.web.getIamPolicy` `iap.web.setIamPolicy`
Un service de backend Cela revient à cocher la case Service de backend sur la page d'administration d'IAP. Chemins d'accès Champ d'application global: https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_web/compute Champ d'application régional: https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_web/compute-`REGION_NAME`	`iap.webTypes.getIamPolicy` `iap.webTypes.setIamPolicy`
Une application App Engine Cela revient à cocher la case Application App Engine sur la page d'administration IAP. Chemin https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_web/appengine-APP_ID	`iap.webTypes.getIamPolicy` `iap.webTypes.setIamPolicy`
Un service de backend Compute Engine Le chemin d'accès au service de backend peut spécifier l'ID du service de backend ou son nom. Chemins Champ d'application global: https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_web/compute/services/ `BACKEND_SERVICE_ID or BACKEND_SERVICE_NAME` Champ d'application régional: https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_web/compute-`REGION_NAME`/ services/`BACKEND_SERVICE_ID or BACKEND_SERVICE_NAME`	`iap.webServices.getIamPolicy` `iap.webServices.setIamPolicy`
Un service d'application App Engine Chemin https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_web/appengine-`APP_ID`/ services/`APP_SERVICE_ID`	`iap.webServices.getIamPolicy` `iap.webServices.setIamPolicy`
Une version de service App Engine Compute Engine n'est pas compatible avec la gestion des versions. Chemin https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_web/appengine-`APP_ID`/ services/`APP_SERVICE_ID`/versions/`VERSION_ID`	`iap.webServiceVersions.getIamPolicy` `iap.webServiceVersions.setIamPolicy`
Toutes les instances de VM sécurisées par IAP dans le projet Cela revient à cocher la case Toutes les ressources de tunnel sur la page d'administration d'IAP. Chemin https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_tunnel	`iap.tunnel.getIamPolicy` `iap.tunnel.setIamPolicy`
Une zone contenant au moins une instance de VM Cela revient à cocher une case de nom de zone sur la page d'administration IAP, par exemple `us-central1-c`. Chemin https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_tunnel/zones/`ZONE_NAME`	`iap.tunnelZones.getIamPolicy` `iap.tunnelZones.setIamPolicy`
Une instance de VM individuelle Chemin https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_tunnel/zones/`ZONE_NAME` /instances/`INSTANCE_ID or INSTANCE_NAME`	`iap.tunnelInstances.getIamPolicy` `iap.tunnelInstances.setIamPolicy`
Une région comportant au moins un groupe de destination, par exemple, `us-central1` Chemin https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_tunnel/locations/`REGION_NAME`	`iap.tunnelLocations.getIamPolicy` `iap.tunnelLocations.setIamPolicy`
Un groupe de destination individuel Chemin https://iap.googleapis.com/v1/projects/ `PROJECT_NUMBER`/iap_tunnel/locations/`REGION_NAME` /destGroups/`GROUP_NAME`	`iap.tunnelDestGroups.getIamPolicy` `iap.tunnelDestGroups.setIamPolicy`

Rôles

Dans le tableau suivant, vous trouverez le récapitulatif des rôles IAM pour IAP avec une liste correspondante de toutes les autorisations propres à IAP incluses dans chaque rôle. Pour en savoir plus sur les rôles IAM, consultez la page Gérer les rôles et les autorisations.

Rôle	Autorisation(s) associée(s)	Description
Utilisateur de l'application Web sécurisée par IAP (`roles/iap.httpsResourceAccessor`)	`iap.webServiceVersions.accessViaIAP`	Permet d'accéder aux ressources App Engine et Compute Engine.
Utilisateur de tunnels sécurisés par IAP (`roles/iap.tunnelResourceAccessor`)	`iap.tunnelInstances.accessViaIAP` `iap.tunnelDestGroups.accessViaIAP`	Accorde l'accès aux instances de VM sécurisées par IAP.
Administrateur de stratégies IAP (`roles/iap.admin`)	`iap.web.getIamPolicy` `iap.web.setIamPolicy` `iap.webTypes.getIamPolicy` `iap.webTypes.setIamPolicy` `iap.webServices.getIamPolicy` `iap.webServices.setIamPolicy` `iap.webServiceVersions.getIamPolicy` `iap.webServiceVersions.setIamPolicy` `iap.tunnel.getIamPolicy` `iap.tunnel.setIamPolicy` `iap.tunnelZones.getIamPolicy` `iap.tunnelZones.setIamPolicy` `iap.tunnelInstances.getIamPolicy` `iap.tunnelInstances.setIamPolicy`	Accorde des droits d'administration IAP pour gérer les stratégies d'accès IAP des ressources.

Public access

Pour accorder à tous l'accès à une ressource, attribuez un rôle à l'un des comptes principaux suivants:

allAuthenticatedUsers : toute personne authentifiée avec un compte Google ou un compte de service.
allUsers : toute personne ayant accès à Internet, y compris les utilisateurs authentifiés et non authentifiés. L'en-tête signé de la requête ne comporte pas de revendication sub ou email.

Si un accès public est accordé, IAP ne génère pas de journaux Cloud Audit Logging pour la requête.

Actuellement, les liaisons qui accordent un accès public ne peuvent pas être associées à une condition. Par exemple, une stratégie rendant une ressource accessible à tous si le chemin de la requête commence par /public/ n'est pas valide.