Usa Identity-Aware Proxy (IAP) para controlar el acceso a las aplicaciones de tus estaciones de trabajo. IAP establece una capa de autorización central, lo que te permite gestionar el acceso a nivel de aplicación en lugar de depender de cortafuegos a nivel de red.
Puedes controlar el acceso en función de la identidad del usuario, la pertenencia a un grupo, la seguridad del dispositivo, la ubicación, la dirección IP y otras señales. Los usuarios acceden a las aplicaciones mediante su navegador web y HTTPS, mientras que los equipos de TI definen y aplican las políticas de acceso de forma centralizada en un solo lugar.
En este documento se describe cómo habilitar IAP para aplicaciones en estaciones de trabajo de tu clúster. En el siguiente diagrama se muestra un clúster con IAP habilitado:
Antes de empezar
Para habilitar las compras en la aplicación en tus estaciones de trabajo, tu clúster debe cumplir los siguientes requisitos:
- Un dominio personalizado: IAP solo se admite en clústeres de estaciones de trabajo que usen un dominio personalizado.
- Un balanceador de carga de aplicaciones: este balanceador de carga gestionará todo el tráfico HTTP de entrada mediante un endpoint de Private Service Connect (PSC) y te permitirá configurar IAP.
Para configurar estos componentes, consulta Configurar dominios personalizados para Cloud Workstations.
Habilita el proxy
Para habilitar IAP en tus estaciones de trabajo, sigue estos pasos:
Habilita IAP en el balanceador de carga de aplicaciones del clúster ejecutando el siguiente comando:
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \ --globalHaz los cambios siguientes:
BACKEND_SERVICE_NAME: el nombre del servicio backend que has creado al configurar un dominio personalizado para tu clúster.CLIENT_ID: el ID de cliente de OAuth 2.0.CLIENT_SECRET: el secreto de cliente de OAuth 2.0.
Para obtener más información sobre cómo configurar un balanceador de carga de aplicaciones con IAP habilitado, consulta Habilitar IAP en un balanceador de carga.
Concede acceso a los usuarios de tu dominio:
gcloud iap web add-iam-policy-binding \ --resource-type=backend-services \ --service=BACKEND_SERVICE_NAME \ --member='PRINCIPAL' \ --role='roles/iap.httpsResourceAccessor' \ --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"Haz los cambios siguientes:
BACKEND_SERVICE_NAME: el nombre del servicio de backend.PRINCIPAL: la entidad a la que se va a conceder acceso. Por ejemplo,group:my-group@example.com,user:test-user@example.comodomain:example.com.EXPRESSION: la expresión de la condición, escrita en el lenguaje de expresión común (CEL). Por ejemplo, esta expresión se puede usar para especificar niveles de acceso y configurar el acceso contextual.TITLE: título de la condición.DESCRIPTION: una descripción opcional de la condición. Cloud Workstations sigue realizando las comprobaciones de IAM en función de la política de IAM configurada en los recursos de la estación de trabajo. Para evitar redundancias, te recomendamos que configures la política de IAP para conceder permisos a un grupo amplio que incluya a todos los usuarios de las estaciones de trabajo aprobadas o a todo tu dominio. Puedes usar esta política principalmente para especificar niveles de acceso y configurar el acceso contextual.
Para obtener más información sobre cómo conceder acceso a los usuarios, consulta gcloud iap web add-iam-policy-binding.