Habilitar IAP

Usa Identity-Aware Proxy (IAP) para controlar el acceso a las aplicaciones en tus estaciones de trabajo. IAP establece una capa de autorización central, lo que te permite administrar el acceso a nivel de la aplicación en lugar de depender de firewalls a nivel de red.

Puedes controlar el acceso en función de la identidad del usuario, la membresía a un grupo, la seguridad del dispositivo, la ubicación, la dirección IP y otros indicadores. Los usuarios acceden a las aplicaciones con su navegador web y HTTPS, mientras que los equipos de TI definen y aplican de forma centralizada las políticas de acceso en un solo lugar.

En este documento, se describe cómo habilitar IAP para aplicaciones en estaciones de trabajo de tu clúster. En el siguiente diagrama, se ilustra un clúster con IAP habilitada:

Figura 1: Clúster con IAP habilitado

Antes de comenzar

Antes de habilitar IAP para tus estaciones de trabajo, tu clúster debe tener lo siguiente:

  • Un dominio personalizado: IAP solo es compatible con clústeres de estaciones de trabajo que usan un dominio personalizado.
  • Un balanceador de cargas de aplicaciones: Este balanceador de cargas controlará todo el tráfico HTTP de entrada con un extremo de Private Service Connect (PSC) y te permitirá configurar el IAP.

Para configurar estos componentes, consulta Configura dominios personalizados para Cloud Workstations.

Habilita el proxy

Para habilitar IAP en tus estaciones de trabajo, sigue estos pasos:

  1. Ejecuta el siguiente comando para habilitar IAP en el balanceador de cargas de aplicaciones del clúster:

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
    --global

    Reemplaza lo siguiente:

    • BACKEND_SERVICE_NAME: Es el nombre del servicio de backend que creaste cuando configuraste un dominio personalizado para tu clúster.
    • CLIENT_ID: Es el ID de cliente de OAuth 2.0.
    • CLIENT_SECRET: El secreto del cliente de OAuth 2.0.

    Para obtener más información sobre cómo configurar un balanceador de cargas de aplicaciones con IAP habilitado, consulta Habilita IAP en un balanceador de cargas.

  2. Otorga acceso a los usuarios de tu dominio:

     gcloud iap web add-iam-policy-binding \
     --resource-type=backend-services \
     --service=BACKEND_SERVICE_NAME \
     --member='PRINCIPAL' \
     --role='roles/iap.httpsResourceAccessor' \
     --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"

    Reemplaza lo siguiente:

    • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
    • PRINCIPAL: Es la principal a la que se otorgará acceso. Por ejemplo, group:my-group@example.com, user:test-user@example.com o domain:example.com.
    • EXPRESSION: Es la expresión de condición, escrita en Common Expression Language (CEL). Por ejemplo, esta expresión se puede usar para especificar niveles de acceso y configurar el acceso adaptado al contexto.
    • TITLE: Es un título para la condición.
    • DESCRIPTION: Es una descripción opcional de la condición. Cloud Workstations sigue realizando las verificaciones de IAM según la política de IAM configurada en los recursos de la estación de trabajo individual. Para evitar la redundancia, considera configurar la política del IAP para otorgar permisos a un grupo amplio que abarque a todos los usuarios aprobados de la estación de trabajo o a todo tu dominio. Principalmente, puedes usar esta política para especificar niveles de acceso y configurar el acceso adaptado al contexto.

    Para obtener más información sobre cómo otorgar acceso a los usuarios, consulta gcloud iap web add-iam-policy-binding.