Privaten lokalen, Compute Engine-, GKE- oder anderen Endpunkt aufrufen, indem IAP aktiviert wird

Sie können einen privaten On-Premise-, Compute Engine-, Google Kubernetes Engine- (GKE-) oder anderen Google Cloud Endpunkt über Workflows aufrufen, indem Sie Identity-Aware Proxy (IAP) für den Endpunkt aktivieren. IAP wird verwendet, um Richtlinien für die Zugriffssteuerung zu erzwingen. Damit können Sie eine zentrale Autorisierungsebene für Anwendungen einrichten, auf die über HTTPS zugegriffen wird. So erhalten Sie ein Zugriffssteuerungsmodell auf Anwendungsebene und müssen keine Firewalls auf Netzwerkebene einsetzen.

Weitere Informationen finden Sie in der IAP-Übersicht und in den folgenden Anleitungen:

• IAP für App Engine aktivieren
• IAP für Cloud Run aktivieren
• IAP für Compute Engine aktivieren
• IAP für GKE aktivieren
• IAP für lokale Anwendungen aktivieren

Alternativ können Sie einen privaten Endpunkt für HTTP-Aufrufe aus der Workflowausführung verwenden, indem Sie die Dienstregistrierung von Service Directory mit Workflows nutzen. Weitere Informationen finden Sie unter Privaten Endpunkt über die Dienstregistrierung von Service Directory aufrufen.

HTTP-Anfrage stellen

Der Aufruf eines privaten Endpunkts über Workflows erfolgt über eine HTTP-Anfrage. Die gängigsten Methoden für HTTP-Anfragen haben eine Aufrufverknüpfung wie http.get und http.post. Sie können aber eine beliebige Methode verwenden, um Typ der HTTP-Anfrage. Dazu setzen Sie das Feld call auf http.request und geben den Anfragetyp im Feld method an. Weitere Informationen finden Sie unter HTTP-Anfrage stellen.

Erstellen Sie ein Dienstkonto mit den erforderlichen Berechtigungen.

Beim Senden von Anfragen an andere Google Cloud -Dienste muss Ihr Workflow mit einem Dienstkonto verknüpft sein, dem eine oder mehrere IAM-Rollen (Identity and Access Management) mit den erforderlichen Berechtigungen für den Zugriff auf die angeforderten Ressourcen zugewiesen wurden. Informationen dazu, welches Dienstkonto mit einem vorhandenen Workflow verknüpft ist, finden Sie unter Verknüpftes Dienstkonto eines Workflows prüfen.

Wenn Sie ein Dienstkonto einrichten, verknüpfen Sie die anfragende Identität mit der Ressource, auf die Sie ihr Zugriff gewähren möchten. Sie machen die anfragende Identität zu einem Hauptkonto oder Nutzer der Ressource und weisen dann die entsprechende Rolle zu. Die Rolle definiert, welche Berechtigungen die Identität im Kontext der Ressource hat. Wenn eine Anwendung oder Ressource durch IAP geschützt ist, kann nur über den Proxy von Hauptkonten mit der richtigen Rolle darauf zugegriffen werden.

Nach der Authentifizierung wendet IAP beispielsweise die entsprechende Zulassungsrichtlinie an, um zu prüfen, ob das Hauptkonto berechtigt ist, auf die angeforderte Ressource zuzugreifen. Wenn das Hauptkonto im Google Cloud Console-Projekt, in dem sich die Ressource befindet, die Rolle Nutzer von IAP-gesicherten Web-Apps (roles/iap.httpsResourceAccessor) hat, ist es berechtigt, auf die Anwendung zuzugreifen.

Sie können den Zugriff auf Ihre mit IAP gesicherte Ressource über die IAP-Seite konfigurieren, indem Sie das Workflows-Dienstkonto als Prinzipal hinzufügen. Weitere Informationen finden Sie unter Zugriff auf Ressourcen verwalten, die mit IAP gesichert sind.

Authentifizierungsinformationen zum Workflow hinzufügen

Standardmäßig enthalten HTTP-Anfragen aus Sicherheitsgründen keine Identitäts- oder Zugriffstokens. Sie müssen der Workflow-Definition explizit Authentifizierungsinformationen hinzufügen. Verwenden Sie OIDC zur Authentifizierung über IAP, wenn Sie Anfragen an einen privaten Endpunkt senden.

Um eine HTTP-Anfrage mit OIDC zu senden, fügen Sie den Abschnitt auth in den Abschnitt args der Workflowdefinition ein, nachdem Sie die URL angegeben haben.

  - step_A:
      call: http.get
      args:
          url: https://www.example.com/endpoint
          body:
              someValue: "Hello World"
              anotherValue: 123
          auth:
              type: OIDC
              audience: OIDC_AUDIENCE
    

    [
      {
        "step_A": {
          "call": "http.get",
          "args": {
            "url": "https://www.example.com/endpoint",
            "body": {
              "someValue": "Hello World",
              "anotherValue": 123
            },
            "auth": {
              "type": "OIDC",
              "audience": "OIDC_AUDIENCE"
            }
          }
        }
      }
    ]
      

Mit dem Parameter audience können Sie die OIDC-Zielgruppe für das Token angeben. Wenn Sie einen IAP-fähigen Endpunkt aufrufen, müssen Sie die OAuth 2.0-Client-ID angeben, die Sie für Ihre Anwendung konfiguriert haben. Sie finden sie auf der Seite Anmeldedaten.

Nächste Schritte

• Zugriff auf Google Cloud -Ressourcen für einen Workflow gewähren
• Auf in einer Variable gespeicherte HTTP-Antwortdaten zugreifen