Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page décrit comment Identity-Aware Proxy (IAP) gère le transfert TCP. Pour découvrir comment accorder aux principaux l'accès aux ressources acheminées par tunnel et créer des tunnels qui acheminent le trafic TCP, consultez la page Utiliser IAP pour le transfert TCP.
Introduction
La fonctionnalité de transfert TCP d'IAP vous permet de contrôler l'accès aux services administratifs tels que SSH et RDP sur vos backends depuis le réseau Internet public. La fonctionnalité de transfert TCP empêche ces services d'être ouvertement exposés à Internet. À la place, les requêtes adressées à vos services doivent passer les contrôles d’authentification et d’autorisation avant de parvenir à la ressource cible.
Rendre visible les services administratifs directement sur Internet lorsque des charges de travail sont exécutées dans le cloud comporte un risque. Le transfert du trafic TCP avec IAP vous permet de réduire ce risque, en garantissant que seuls les utilisateurs autorisés peuvent accéder à ces services sensibles.
Cette fonctionnalité étant spécialement conçue pour les services administratifs, les cibles à équilibrage de charge ne sont pas compatibles.
L'appel du service de transfert TCP d'IAP n'est pas disponible sur les appareils mobiles.
Fonctionnement du transfert TCP d'IAP
La fonctionnalité de transfert TCP d'IAP permet aux utilisateurs de se connecter à des ports TCP arbitraires sur des instances Compute Engine. Pour le trafic TCP général, IAP crée un port d'écoute sur l'hôte local qui transfère tout le trafic vers une instance spécifiée. IAP encapsule ensuite tout le trafic du client en HTTPS. Les utilisateurs ont accès à l'interface et au port s'ils réussissent la vérification d'authentification et d'autorisation de la stratégie IAM (Identity and Access Management) de la ressource cible.
Il existe un cas particulier : l'établissement d'une connexion SSH à l'aide de gcloud compute ssh encapsule la connexion SSH en HTTPS, puis la transfère à l'instance distante sans qu'un port d'écoute ne soit nécessaire sur l'hôte local.
L'activation d'IAP sur une ressource d'administration ne bloque pas automatiquement les requêtes directes adressées à la ressource. IAP ne bloque que les requêtes TCP provenant d'adresses IP de transfert TCP d'IAP vers les services pertinents de la ressource.
Le transfert TCP avec IAP ne nécessite pas l'attribution d'une adresse IP publique et routable à votre ressource. Elle utilise à la place des adresses IP internes.
Étape suivante
Découvrez comment vous connecter aux ports TCP sur les instances et accorder aux principaux un accès aux ressources acheminées par tunnel.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eIAP's TCP forwarding feature controls access to administrative services like SSH and RDP on backends, preventing them from being openly exposed to the internet.\u003c/p\u003e\n"],["\u003cp\u003eOnly authorized users who pass authentication and authorization checks gain access to sensitive services via IAP's TCP forwarding, reducing the risk of exposing administrative services directly to the internet.\u003c/p\u003e\n"],["\u003cp\u003eIAP's TCP forwarding establishes a local listening port that forwards traffic to a specified instance, wrapping all client traffic in HTTPS for general TCP connections.\u003c/p\u003e\n"],["\u003cp\u003eIAP's TCP forwarding doesn't require the resource to have a public, routable IP address, instead using internal IPs for forwarding.\u003c/p\u003e\n"],["\u003cp\u003eEnabling IAP on an administrative resource does not block all requests, it will only block TCP requests that do not come from an IAP TCP forwarding IP.\u003c/p\u003e\n"]]],[],null,["# Overview of TCP forwarding\n\nThis page describes how Identity-Aware Proxy (IAP) handles TCP\nforwarding. To learn how to grant principals access to tunneled resources and how\nto create tunnels that route TCP traffic, see\n[Using IAP for TCP forwarding](/iap/docs/using-tcp-forwarding).\n\nIntroduction\n------------\n\nIAP's TCP forwarding feature lets you control who\ncan access administrative services like SSH and RDP on your backends from the\npublic internet. The TCP forwarding feature prevents these services from being\nopenly exposed to the internet. Instead, requests to your services must pass\nauthentication and authorization checks before they get to their target\nresource.\n\nExposing administrative services directly to the internet when running workloads\nin the cloud introduces risk. Forwarding TCP traffic with IAP\nallows you to reduce that risk, ensuring only authorized users gain access to\nthese sensitive services.\n\nSince this feature is specifically aimed at administrative services,\nload-balanced targets aren't supported.\n| **Note:** Administrative services, as defined here, are services that are typically used to administer a machine, such as RDP, SSH, and MySQL's admin interface.\n\nCalling the IAP TCP forwarding service isn't supported on\nmobile devices.\n\nHow IAP's TCP forwarding works\n------------------------------\n\nIAP's TCP forwarding feature allows users to connect to\narbitrary TCP ports on Compute Engine instances. For general TCP traffic,\nIAP creates a listening port on the local host that forwards\nall traffic to a specified instance. IAP then wraps all\ntraffic from the client in HTTPS. Users gain access to the interface and port if\nthey pass the authentication and authorization check of the target resource's\nIdentity and Access Management (IAM) policy.\n\nA special case, establishing an SSH connection using [`gcloud compute ssh`](/sdk/gcloud/reference/compute/ssh)\nwraps the SSH connection inside HTTPS and forwards it to the remote instance\nwithout the need of a listening port on local host.\n\nEnabling IAP on an admin resource doesn't automatically block\ndirect requests to the resource. IAP only blocks TCP requests\nthat aren't from IAP TCP forwarding IPs to relevant services\non the resource.\n\nTCP forwarding with IAP doesn't require a\npublic, routable IP address assigned to your resource. Instead, it uses internal\nIPs.\n\nWhat's next\n-----------\n\n- Learn how to connect to [TCP ports on instances](/iap/docs/using-tcp-forwarding) and grant principals access to tunneled resources."]]
