A fin de proteger tus recursos web de una manera fácil de administrar, escalable y detallada, Google Cloud ofrece acceso adaptado al contexto a través de Identity-Aware Proxy (IAP). IAP se diseñó para aplicar el modelo de seguridad BeyondCorp, que establece un perímetro de confianza cero en la Internet pública para ofrecer un trabajo remoto seguro sin la necesidad de una VPN tradicional.
Puedes permitir el acceso seguro a tus sitios web o apps web a los usuarios ubicados en cualquier lugar o dispositivo mediante el uso de IAP para controlar las restricciones detalladas. El control de acceso se puede configurar en función de la identidad del usuario y el contexto de su solicitud sin necesidad de realizar cambios adicionales en el sitio. También puedes definir y aplicar de forma centralizada las políticas de acceso en varias apps y sitios, incluidas las políticas de IAM con vinculación condicional. IAP funciona con otras ofertas de Google Cloud, como el entorno estándar de App Engine, Compute Engine y Google Kubernetes Engine.
Configura tus niveles de acceso
Cuando se accede a los recursos web dentro del alcance de IAP, los usuarios deben acceder con sus credenciales de servicio de identidad de Google (por ejemplo, la dirección de correo electrónico de su cuenta de Gmail o Google Workspace) o un LDAP registrado en un servicio de directorio LDAP sincronizado con el servicio de identidad de Google. Si el usuario tiene autorización, IAP reenvía su solicitud al servidor web junto con los datos del encabezado que incluyen su identidad.
Figura 1. Control del acceso de los usuarios a los recursos web detrás de IAP.
En la consola de Cloud, puedes configurar IAP para que solo los usuarios no autorizados accedan a un recurso determinado.
Para hacerlo con un recurso en App Engine, sigue estos pasos:
- Abre la página Identity-Aware Proxy en tu proyecto activo.
- Selecciona el recurso que deseas modificar.
Haz clic en Agregar Principal y agrega las direcciones de correo electrónico de los grupos o individuos a los que deseas otorgarles la función Usuario de aplicación web protegida con IAP en el proyecto.
En la siguiente tabla, se enumeran algunas situaciones de acceso comunes y el principal al que se debe otorgar acceso en cada situación.
Nivel de acceso Ejemplo de recurso web Principal de ejemplo Acceso público y abierto Sitio web público de la empresa. allUsersAcceso autenticado por el usuario Sitio para enviar tickets de asistencia. allAuthenticatedUsersAcceso restringido por los empleados App que se ejecuta en la intranet de la empresa. bigcorpltd.com,contractors@bigcorpltd.comAcceso restringido altamente sensible para dispositivos y empleados App con acceso a la información privada de los clientes. customer.support@bigcorpltd.comNota: Este nivel de acceso requiere que se agregue información de restricciones en Access Context Manager, como los atributos de la política de dispositivo o las subredes de IP permitidas. Los usuarios también deben configurar perfiles de trabajo en sus dispositivos móviles o una extensión de Chrome en sus navegadores.
- Haz clic en Agregar para guardar los cambios.
Próximos pasos
- Para comenzar, familiarízate con los conceptos de IAP y sigue las guías de inicio rápido.
- Para obtener más información, consulta estos videos introductorios:
- Consulta estos instructivos para usar IAP con el entorno estándar de App Engine, Compute Engine, Google Kubernetes Engine y apps locales.