Mengontrol akses ke situs dan aplikasi

Untuk mengamankan resource web Anda dengan cara yang mudah dikelola, skalabel, dan terperinci, Google Cloud menawarkan akses kontekstual melalui Identity-Aware Proxy (IAP). IAP dirancang untuk menerapkan model keamanan BeyondCorp, yang menetapkan perimeter zero-trust di internet publik untuk pekerjaan jarak jauh yang aman dan tanpa memerlukan VPN tradisional.

Anda dapat mengizinkan akses aman ke situs atau aplikasi web Anda bagi pengguna yang berada di mana saja atau di perangkat apa pun dengan menggunakan IAP untuk mengontrol pembatasan terperinci. Kontrol akses dapat dikonfigurasi berdasarkan identitas dan konteks pengguna terkait permintaannya tanpa melakukan perubahan situs tambahan. Anda juga dapat menentukan dan menerapkan kebijakan akses secara terpusat di beberapa aplikasi dan situs, termasuk kebijakan IAM dengan binding kondisional. IAP dapat digunakan dengan penawaran Google Cloud lainnya, termasuk App Engine lingkungan standar, Compute Engine, dan Google Kubernetes Engine.

Mengonfigurasi tingkat akses

Saat mengakses resource web yang diketahui oleh IAP, pengguna harus login dengan kredensial layanan identitas Google (misalnya, alamat email Gmail atau Google Workspace) atau LDAP yang terdaftar dengan layanan direktori LDAP yang disinkronkan dengan layanan identitas Google. Jika pengguna diberi otorisasi, IAP akan meneruskan permintaannya ke server web bersama dengan data header yang menyertakan identitas pengguna.

Gambar menampilkan permintaan pemilihan rute IAP dari pengguna yang diautentikasi ke server web.

Gambar 1. Mengontrol akses pengguna ke resource web di balik IAP.

Di Cloud Console, Anda dapat mengonfigurasi IAP untuk memblokir pengguna yang tidak sah agar tidak mengakses resource tertentu.

Untuk melakukannya bagi resource di App Engine:

  1. Buka halaman Identity-Aware Proxy di project aktif Anda.
  2. Pilih resource yang ingin diubah.
  3. Klik Add Principal, lalu tambahkan alamat email grup atau individu yang ingin Anda beri peran IAP-secured Web App User untuk project tersebut.

    Tabel di bawah mencantumkan beberapa skenario akses umum dan akun utama yang aksesnya akan diberikan untuk setiap skenario.

    Tingkat Akses Contoh Resource Web Contoh Akun Utama
    Akses publik terbuka Situs publik perusahaan. allUsers
    Akses yang diautentikasi pengguna Situs untuk mengirimkan tiket bantuan. allAuthenticatedUsers
    Akses terbatas karyawan Aplikasi yang berjalan di intranet perusahaan. bigcorpltd.com, contractors@bigcorpltd.com
    Akses yang sangat sensitif, perangkat, dan terbatas oleh karyawan Aplikasi yang memiliki akses ke informasi pribadi pelanggan. customer.support@bigcorpltd.com

    Catatan: Tingkat akses ini memerlukan penambahan informasi batasan melalui Access Context Manager, seperti atribut kebijakan perangkat atau subnetwork IP yang diizinkan. Pengguna juga harus menyiapkan profil kerja di perangkat seluler atau ekstensi Chrome di browser mereka.

  4. Klik Tambahkan untuk menyimpan perubahan.

Langkah berikutnya