Controla el acceso a sitios web y apps

A fin de proteger tus recursos web de una manera fácil de administrar, escalable y detallada, Google Cloud ofrece acceso adaptado al contexto a través de Identity-Aware Proxy (IAP). IAP se diseñó para aplicar el modelo de seguridad BeyondCorp, que establece un perímetro de confianza cero en la Internet pública para ofrecer un trabajo remoto seguro sin la necesidad de una VPN tradicional.

Puedes permitir el acceso seguro a tus sitios web o apps web a los usuarios ubicados en cualquier lugar o dispositivo mediante el uso de IAP para controlar las restricciones detalladas. El control de acceso se puede configurar en función de la identidad del usuario y el contexto de su solicitud sin necesidad de realizar cambios adicionales en el sitio. También puedes definir y aplicar de forma centralizada las políticas de acceso en varias apps y sitios, incluidas las políticas de IAM con vinculación condicional. IAP funciona con otras ofertas de Google Cloud, como el entorno estándar de App Engine, Compute Engine y Google Kubernetes Engine.

Configura tus niveles de acceso

Cuando se accede a los recursos web dentro del alcance de IAP, los usuarios deben acceder con sus credenciales de servicio de identidad de Google (por ejemplo, la dirección de correo electrónico de su cuenta de Gmail o Google Workspace) o un LDAP registrado en un servicio de directorio LDAP sincronizado con el servicio de identidad de Google. Si el usuario tiene autorización, IAP reenvía su solicitud al servidor web junto con los datos del encabezado que incluyen su identidad.

La imagen muestra las solicitudes de enrutamiento de IAP de los usuarios autenticados a un servidor web.

Figura 1. Control del acceso de los usuarios a los recursos web detrás de IAP.

En la consola de Cloud, puedes configurar IAP para que solo los usuarios no autorizados accedan a un recurso determinado.

Para hacerlo con un recurso en App Engine, sigue estos pasos:

  1. Abre la página Identity-Aware Proxy en tu proyecto activo.
  2. Selecciona el recurso que deseas modificar.
  3. Haz clic en Agregar Principal y agrega las direcciones de correo electrónico de los grupos o individuos a los que deseas otorgarles la función Usuario de aplicación web protegida con IAP en el proyecto.

    En la siguiente tabla, se enumeran algunas situaciones de acceso comunes y el principal al que se debe otorgar acceso en cada situación.

    Nivel de acceso Ejemplo de recurso web Principal de ejemplo
    Acceso público y abierto Sitio web público de la empresa. allUsers
    Acceso autenticado por el usuario Sitio para enviar tickets de asistencia. allAuthenticatedUsers
    Acceso restringido por los empleados App que se ejecuta en la intranet de la empresa. bigcorpltd.com, contractors@bigcorpltd.com
    Acceso restringido altamente sensible para dispositivos y empleados App con acceso a la información privada de los clientes. customer.support@bigcorpltd.com

    Nota: Este nivel de acceso requiere que se agregue información de restricciones en Access Context Manager, como los atributos de la política de dispositivo o las subredes de IP permitidas. Los usuarios también deben configurar perfiles de trabajo en sus dispositivos móviles o una extensión de Chrome en sus navegadores.

  4. Haz clic en Agregar para guardar los cambios.

Próximos pasos