Mengontrol akses ke situs dan aplikasi

Untuk mengamankan resource web Anda dengan cara yang mudah dikelola, skalabel, dan terperinci, Google Cloud menawarkan akses kontekstual melalui Identity-Aware Proxy (IAP). IAP dirancang untuk menerapkan model keamanan BeyondCorp, yang menetapkan perimeter zero-trust di internet publik untuk pekerjaan jarak jauh yang aman dan tanpa memerlukan VPN tradisional.

Anda dapat mengizinkan akses aman ke situs atau aplikasi web Anda bagi pengguna yang berada di mana saja atau di perangkat apa pun dengan menggunakan IAP untuk mengontrol pembatasan terperinci. Kontrol akses dapat dikonfigurasi berdasarkan identitas dan konteks pengguna terkait permintaannya tanpa melakukan perubahan situs tambahan. Anda juga dapat menentukan dan menerapkan kebijakan akses secara terpusat di beberapa aplikasi dan situs, termasuk kebijakan IAM dengan binding kondisional. IAP dapat digunakan dengan penawaran Google Cloud lainnya, termasuk App Engine lingkungan standar, Compute Engine, dan Google Kubernetes Engine.

Mengonfigurasi tingkat akses

Saat mengakses resource web yang diketahui oleh IAP, pengguna harus login dengan kredensial layanan identitas Google (misalnya, alamat email Gmail atau Google Workspace) atau LDAP yang terdaftar dengan layanan direktori LDAP yang disinkronkan dengan layanan identitas Google. Jika pengguna diberi otorisasi, IAP akan meneruskan permintaannya ke server web bersama dengan data header yang menyertakan identitas pengguna.

Gambar menampilkan permintaan pemilihan rute IAP dari pengguna yang diautentikasi ke server web.

Gambar 1. Mengontrol akses pengguna ke resource web di balik IAP.

Di Cloud Console, Anda dapat mengonfigurasi IAP untuk memblokir pengguna yang tidak sah agar tidak mengakses resource tertentu.

Untuk melakukannya bagi resource di App Engine:

Buka halaman Identity-Aware Proxy di project aktif Anda.
Pilih resource yang ingin diubah.

Klik Add Principal, lalu tambahkan alamat email grup atau individu yang ingin Anda beri peran IAP-secured Web App User untuk project tersebut.

Tabel di bawah mencantumkan beberapa skenario akses umum dan akun utama yang aksesnya akan diberikan untuk setiap skenario.

Tingkat Akses	Contoh Resource Web	Contoh Akun Utama
Akses publik terbuka	Situs publik perusahaan.	`allUsers`
Akses yang diautentikasi pengguna	Situs untuk mengirimkan tiket bantuan.	`allAuthenticatedUsers`
Akses terbatas karyawan	Aplikasi yang berjalan di intranet perusahaan.	`bigcorpltd.com`, `contractors@bigcorpltd.com`
Akses yang sangat sensitif, perangkat, dan terbatas oleh karyawan	Aplikasi yang memiliki akses ke informasi pribadi pelanggan.	`customer.support@bigcorpltd.com` Catatan: Tingkat akses ini memerlukan penambahan informasi batasan melalui Access Context Manager, seperti atribut kebijakan perangkat atau subnetwork IP yang diizinkan. Pengguna juga harus menyiapkan profil kerja di perangkat seluler atau ekstensi Chrome di browser mereka.

Klik Tambahkan untuk menyimpan perubahan.

Langkah berikutnya

Mulailah dengan memahami konsep IAP dan mengikuti panduan memulai.
Pelajari lebih lanjut dengan melihat video pengantar ini:
- BeyondCorp dalam botol
- Pusatkan akses ke situs organisasi Anda dengan Identity-Aware Proxy
Lihat tutorial ini untuk menggunakan IAP denganLingkungan standar App Engine, Compute Engine danGoogle Kubernetes Engine , danaplikasi lokal singkat ini.