Verwenden Sie Identity-Aware Proxy (IAP), um den Zugriff auf Anwendungen auf Ihren Arbeitsstationen zu steuern. IAP bietet die Möglichkeit, eine zentrale Autorisierungsebene einzurichten, sodass Sie den Zugriff auf Anwendungsebene verwalten können, anstatt sich auf Firewalls auf Netzwerkebene zu verlassen.
Sie können den Zugriff anhand von Nutzeridentität, Gruppenmitgliedschaft, Gerätesicherheit, Standort, IP-Adresse und anderen Signalen steuern. Nutzer greifen über ihren Webbrowser und HTTPS auf Anwendungen zu, während IT-Teams Zugriffsrichtlinien zentral definieren und erzwingen.
In diesem Dokument wird beschrieben, wie Sie IAP für Anwendungen auf Arbeitsstationen in Ihrem Cluster aktivieren. Das folgende Diagramm veranschaulicht einen Cluster mit aktivierter IAP:
Hinweise
Bevor Sie IAP für Ihre Arbeitsstationen aktivieren können, muss Ihr Cluster die folgenden Anforderungen erfüllen:
- Benutzerdefinierte Domain:IAP wird nur in Workstation-Clustern unterstützt, die eine benutzerdefinierte Domain verwenden.
- Application Load Balancer:Dieser Load-Balancer verarbeitet den gesamten eingehenden HTTP-Traffic über einen Private Service Connect-Endpunkt (PSC) und ermöglicht es Ihnen, IAP zu konfigurieren.
Informationen zum Einrichten dieser Komponenten finden Sie unter Benutzerdefinierte Domains für Cloud Workstations einrichten.
Proxy aktivieren
So aktivieren Sie IAP für Ihre Workstations:
Aktivieren Sie IAP für den Application Load Balancer des Clusters, indem Sie den folgenden Befehl ausführen:
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \ --globalErsetzen Sie Folgendes:
BACKEND_SERVICE_NAME: der Name des Backend-Dienstes, den Sie beim Einrichten einer benutzerdefinierten Domain für Ihren Cluster erstellt haben.CLIENT_ID: die OAuth 2.0-Client-ID.CLIENT_SECRET: Der OAuth 2.0-Clientschlüssel.
Weitere Informationen zum Einrichten eines Application Load Balancer mit aktiviertem IAP finden Sie unter IAP auf einem Load Balancer aktivieren.
Nutzern in Ihrer Domain Zugriff gewähren:
gcloud iap web add-iam-policy-binding \ --resource-type=backend-services \ --service=BACKEND_SERVICE_NAME \ --member='PRINCIPAL' \ --role='roles/iap.httpsResourceAccessor' \ --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"Ersetzen Sie Folgendes:
BACKEND_SERVICE_NAMEist der Name des Backend-Dienstes.PRINCIPAL: Das Hauptkonto, dem Zugriff gewährt werden soll. Beispiel:group:my-group@example.com,user:test-user@example.comoderdomain:example.com.EXPRESSION: Der Bedingungsausdruck in der Common Expression Language (CEL). Mit diesem Ausdruck lassen sich beispielsweise Zugriffsebenen für die Konfiguration des kontextsensitiven Zugriffs festlegen.TITLE: Ein Titel für die Bedingung.DESCRIPTION: eine optionale Beschreibung für die Bedingung. Cloud Workstations führt die IAM-Prüfungen weiterhin basierend auf der IAM-Richtlinie aus, die für die einzelnen Workstation-Ressourcen konfiguriert ist. Um Redundanz zu vermeiden, sollten Sie die IAP-Richtlinie so konfigurieren, dass Berechtigungen für eine große Gruppe gewährt werden, die alle genehmigten Arbeitsstationsnutzer oder Ihre gesamte Domain umfasst. Mit dieser Richtlinie können Sie hauptsächlich Zugriffsebenen angeben, um den kontextsensitiven Zugriff zu konfigurieren.
Weitere Informationen zum Gewähren des Zugriffs für Nutzer finden Sie unter gcloud iap web add-iam-policy-binding.