Privaten lokalen, Compute Engine-, GKE- oder anderen Endpunkt aufrufen, indem IAP aktiviert wird

Sie können einen privaten lokalen, Compute Engine-, Google Kubernetes Engine- (GKE-) oder anderen Google Cloud-Endpunkt aus Workflows aufrufen, indem Sie Identity-Aware Proxy (IAP) für den Endpunkt aktivieren. IAP wird verwendet, um Zugriffssteuerungsrichtlinien durchzusetzen. Außerdem können Sie damit eine zentrale Autorisierungsebene für Anwendungen einrichten, auf die über HTTPS zugegriffen wird. So können Sie ein Zugriffssteuerungsmodell auf Anwendungsebene verwenden, anstatt Firewalls auf Netzwerkebene einzusetzen. Weitere Informationen finden Sie in der IAP-Übersicht und in den folgenden Artikeln:

• IAP für App Engine aktivieren
• IAP für Cloud Run aktivieren
• IAP für Compute Engine aktivieren
• IAP für GKE aktivieren
• IAP für lokale Anwendungen aktivieren

Alternativ können Sie einen privaten Endpunkt für HTTP-Aufrufe aus Ihrer Workflowausführung ansteuern, indem Sie die Dienstregistrierung von Service Directory mit Workflows verwenden. Wenn Sie einen privaten Endpunkt in einem VPC-Netzwerk (Virtual Private Cloud) erstellen, kann der Endpunkt VPC Service Controls-konform sein. Weitere Informationen finden Sie unter VPC Service Controls-konformen privaten Endpunkt aufrufen.

HTTP-Anfrage stellen

Der Aufruf eines privaten Endpunkts über Workflows erfolgt über eine HTTP-Anfrage. Die gängigsten Methoden für HTTP-Anfragen haben eine Aufrufverknüpfung wie http.get und http.post. Sie können aber eine beliebige Methode verwenden, um Typ der HTTP-Anfrage. Dazu setzen Sie das Feld call auf http.request und geben den Anfragetyp im Feld method an. Weitere Informationen finden Sie unter HTTP-Anfrage stellen.

Erstellen Sie ein Dienstkonto mit den erforderlichen Berechtigungen.

Beim Senden von Anfragen an andere Google Cloud-Dienste muss Ihr Workflow mit einem Dienstkonto verknüpft sein, dem eine oder mehrere IAM-Rollen (Identity and Access Management) mit den erforderlichen Berechtigungen für den Zugriff auf die angeforderten Ressourcen zugewiesen wurden. Informationen dazu, welches Dienstkonto mit einem vorhandenen Workflow verknüpft ist, finden Sie unter Verknüpftes Dienstkonto prüfen.

Wenn Sie ein Dienstkonto einrichten, verknüpfen Sie die anfragende Identität mit der Ressource, auf die Sie ihr Zugriff gewähren möchten. Sie machen die anfragende Identität zu einem Hauptkonto oder Nutzer der Ressource und weisen dann die entsprechende Rolle zu. Die Rolle definiert, welche Berechtigungen die Identität im Kontext der Ressource hat. Wenn eine Anwendung oder Ressource durch IAP geschützt ist, können nur Hauptkonten mit der richtigen Rolle über den Proxy darauf zugreifen.

Nach der Authentifizierung ermittelt IAP anhand der entsprechenden Zulassungsrichtlinie, ob das Hauptkonto berechtigt ist, auf die angeforderte Ressource zuzugreifen. Wenn das Hauptkonto im Google Cloud Console-Projekt, in dem sich die Ressource befindet, die Rolle Nutzer von IAP-gesicherten Web-Apps (roles/iap.httpsResourceAccessor) hat, ist es berechtigt, auf die Anwendung zuzugreifen.

Sie können den Zugriff auf Ihre mit IAP gesicherte Ressource über die IAP-Seite konfigurieren, indem Sie das Workflows-Dienstkonto als Principal hinzufügen. Weitere Informationen finden Sie unter Zugriff auf Ressourcen verwalten, die mit IAP gesichert sind.

Authentifizierungsinformationen zum Workflow hinzufügen

Standardmäßig enthalten HTTP-Anfragen aus Sicherheitsgründen keine Identitäts- oder Zugriffstokens. Sie müssen der Workflow-Definition explizit Authentifizierungsinformationen hinzufügen. Verwenden Sie OIDC, um Anfragen an einen privaten Endpunkt über IAP zu authentifizieren.

Um eine HTTP-Anfrage mit OIDC zu senden, fügen Sie den Abschnitt auth in den Abschnitt args der Workflowdefinition ein, nachdem Sie die URL angegeben haben.

  - step_A:
      call: http.get
      args:
          url: https://www.example.com/endpoint
          body:
              someValue: "Hello World"
              anotherValue: 123
          auth:
              type: OIDC
              audience: OIDC_AUDIENCE
    

    [
      {
        "step_A": {
          "call": "http.get",
          "args": {
            "url": "https://www.example.com/endpoint",
            "body": {
              "someValue": "Hello World",
              "anotherValue": 123
            },
            "auth": {
              "type": "OIDC",
              "audience": "OIDC_AUDIENCE"
            }
          }
        }
      }
    ]
      

Mit dem Parameter audience können Sie die OIDC-Zielgruppe für das Token angeben. Wenn Sie einen IAP-kompatiblen Endpunkt aufrufen, müssen Sie die OAuth 2.0-Client-ID angeben, die Sie für Ihre Anwendung konfiguriert haben. Sie finden sie auf der Seite Anmeldedaten.

Nächste Schritte

• Workflowberechtigungen für den Zugriff auf Google Cloud-Ressourcen gewähren
• Auf in einer Variable gespeicherte HTTP-Antwortdaten zugreifen