Appeler un point de terminaison privé sur site, Compute Engine, GKE ou autre en activant l'IAP

Vous pouvez appeler un point de terminaison privé sur site, Compute Engine, Google Kubernetes Engine (GKE) ou un autre point de terminaison Google Cloud à partir de workflows en activant Identity-Aware Proxy (IAP) pour le point de terminaison. IAP permet d'appliquer des règles de contrôle des accès et d'établir une couche d'autorisation centrale pour les applications accessibles via HTTPS. Vous pouvez ainsi utiliser un modèle de contrôle des accès au niveau des applications au lieu de vous servir de pare-feu au niveau du réseau. Pour en savoir plus, consultez la présentation des API et les documents suivants:

• Activer IAP pour App Engine
• Activer l'IAP pour Cloud Run
• Activer IAP pour Compute Engine
• Activer IAP pour GKE
• Activer IAP pour les applications sur site

Vous pouvez également cibler un point de terminaison privé pour les appels HTTP à partir de l'exécution de votre workflow à l'aide du registre de services de l'annuaire des services avec Workflows. En créant un point de terminaison privé dans un réseau cloud privé virtuel (VPC), vous pouvez le rendre conforme à VPC Service Controls. Pour en savoir plus, consultez la section Appeler un point de terminaison privé conforme à VPC Service Controls.

Envoyer une requête HTTP

Les appels d'un point de terminaison privé à partir de Workflows sont effectués via une requête HTTP. Les méthodes de requête HTTP les plus courantes possèdent un raccourci d'appel (tel que http.get et http.post), mais vous pouvez effectuer n'importe quel type de requête HTTP en définissant le champ call sur http.request et en spécifiant le type de requête à l'aide du champ method. Pour en savoir plus, consultez la page Envoyer une requête HTTP.

Créez un compte de service doté des autorisations requises.

Lorsque vous envoyez des requêtes à d'autres services Google Cloud, votre workflow doit être associé à un compte de service disposant d'un ou de plusieurs rôles IAM (Identity and Access Management) contenant les autorisations requises pour accéder aux ressources demandées. Pour savoir quel compte de service est associé à un workflow existant, consultez la page Vérifier le compte de service associé à un workflow.

Lors de la configuration d'un compte de service, vous associez l'identité à l'origine de la requête à la ressource à laquelle vous souhaitez lui accorder l'accès. Vous choisissez comme identité principale (ou utilisateur) de la ressource à l'origine de la requête, puis vous l'attribuez. le rôle approprié. Le rôle définit les autorisations dont dispose l'identité dans le contexte de la ressource. Lorsqu'une application ou une ressource est protégée par IAP, seuls les comptes principaux disposant du rôle approprié peuvent y accéder via le proxy.

Par exemple, après l'authentification, IAP applique la stratégie d'autorisation appropriée pour vérifier si le compte principal est autorisé à accéder à la ressource demandée. Si le principal dispose du rôle Utilisateur de l'application Web sécurisée par IAP (roles/iap.httpsResourceAccessor) dans le projet de la console Google Cloud où se trouve la ressource, il est autorisé à accéder à l'application.

Vous pouvez configurer l'accès à votre ressource sécurisée par IAP sur la page de l'IAP en ajoutant le compte de service Workflows en tant qu'entité principale. Pour en savoir plus, consultez la page Gérer les accès aux ressources sécurisées par IAP.

Ajoutez des informations d'authentification à votre workflow

Par défaut, les requêtes HTTP ne contiennent pas de jetons d'identité ou d'accès pour des raisons de sécurité. Vous devez explicitement ajouter des informations d'authentification à votre définition de workflow. Lorsque vous envoyez des requêtes à un point de terminaison privé, utilisez OIDC pour vous authentifier via l'API IAP.

Pour effectuer une requête HTTP à l'aide d'OIDC, ajoutez une section auth à la section args de la définition de votre workflow, après avoir spécifié l'URL.

  - step_A:
      call: http.get
      args:
          url: https://www.example.com/endpoint
          body:
              someValue: "Hello World"
              anotherValue: 123
          auth:
              type: OIDC
              audience: OIDC_AUDIENCE
    

    [
      {
        "step_A": {
          "call": "http.get",
          "args": {
            "url": "https://www.example.com/endpoint",
            "body": {
              "someValue": "Hello World",
              "anotherValue": 123
            },
            "auth": {
              "type": "OIDC",
              "audience": "OIDC_AUDIENCE"
            }
          }
        }
      }
    ]
      

Vous pouvez utiliser le paramètre audience pour spécifier l'audience OIDC du jeton. Lorsque vous appelez un point de terminaison compatible avec l'IAP, vous devez spécifier l'ID client OAuth 2.0 que vous avez configuré pour votre application. Vous pouvez les obtenir sur la page Identifiants.

Étape suivante

• Accorder à un workflow l'accès aux ressources Google Cloud
• Accéder aux données de réponse HTTP enregistrées dans une variable