ID とコンテキストを使用して、アプリケーションや VM へのアクセスを保護。
クラウドベースおよびオンプレミスのアプリケーション、Google Cloud 上で稼働している VM へのアクセスを制御します
ユーザー ID を確認し、コンテキストを使用してユーザーにアクセスを許可すべきかどうかを判断します
VPN を使用せずに、信頼できないネットワークから作業します
ゼロトラストのアクセスモデルを実装します
利点
VPN を実装する場合よりも短い時間で、アプリへのアクセスを保護できます。認証や認可は IAP に任せて、開発者はアプリケーション ロジックに専念できます。
エンドユーザーは、ウェブブラウザからインターネットで接続可能な URL に参照するだけで、IAP で保護されたアプリケーションにアクセスできます。VPN クライアントは必要ありません。
管理者は、ユーザー ID、デバイスのセキュリティのステータス、IP アドレスなどの属性に基づいて、きめ細かなアクセス制御ポリシーを作成し、実施できます。
主な機能
IAP により、ウェブ アプリケーションとクラウド リソースにアクセスするユーザーを単一コントロール ポイントから制御し管理できます。
IAP は、Google Cloud、その他のクラウド、オンプレミスでホストされたアプリケーションへのアクセスを保護できます。
TCP 転送により、IAP は Google Cloud でホストされる VM への SSH アクセスと RDP アクセスを保護できます。VM インスタンスにはパブリック IP アドレスは不要です。
ドキュメント
料金
Identity-Aware Proxy には、Google Cloud でホストされるリソースやアプリケーションへのアクセスを保護するために、無料で使用できる数多くの機能が含まれています(ネットワーキングとコンピューティングの料金が、必要な負荷分散に適用されます。負荷分散の料金に関する詳細は、Compute Engine のドキュメントをご覧ください)。
Identity-Aware Proxy の以下の機能は BeyondCorp Enterprise の有料機能です: 非 Google Cloud リソースのプロキシ、IAP のカスタマイズ、アクセスレベルでのデバイス属性の使用。
BeyondCorp Enterprise の料金と機能についてご覧ください。