Utilisez Identity-Aware Proxy (IAP) pour contrôler l'accès aux applications sur vos postes de travail. IAP établit une couche d'autorisation centrale, ce qui vous permet de gérer les accès au niveau des applications au lieu d'utiliser des pare-feu au niveau du réseau.
Vous pouvez contrôler les accès en fonction de l'identité de l'utilisateur, de son appartenance à un groupe, de la sécurité de l'appareil, de l'emplacement, de l'adresse IP et d'autres signaux. Les utilisateurs accèdent aux applications à l'aide de leur navigateur Web et du protocole HTTPS, tandis que les équipes informatiques définissent et appliquent de manière centralisée les règles d'accès en un seul endroit.
Ce document explique comment activer IAP pour les applications sur les postes de travail de votre cluster. Le schéma suivant illustre un cluster avec IAP activé :
Avant de commencer
Avant de pouvoir activer IAP pour vos postes de travail, votre cluster doit disposer des éléments suivants :
- Un domaine personnalisé : IAP n'est compatible qu'avec les clusters de postes de travail qui utilisent un domaine personnalisé.
- Équilibreur de charge d'application : cet équilibreur de charge gère tout le trafic HTTP entrant à l'aide d'un point de terminaison Private Service Connect (PSC) et vous permet de configurer IAP.
Pour configurer ces composants, consultez Configurer des domaines personnalisés pour Cloud Workstations.
Activer le proxy
Pour activer IAP pour vos stations de travail, procédez comme suit :
Activez IAP sur l'équilibreur de charge d'application du cluster en exécutant la commande suivante :
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \ --globalRemplacez les éléments suivants :
BACKEND_SERVICE_NAME: nom du service de backend que vous avez créé lors de la configuration d'un domaine personnalisé pour votre cluster.CLIENT_ID: ID client OAuth 2.0.CLIENT_SECRET: code secret du client OAuth 2.0.
Pour en savoir plus sur la configuration d'un équilibreur de charge d'application avec IAP activé, consultez Activer IAP sur un équilibreur de charge.
Accorder l'accès aux utilisateurs de votre domaine :
gcloud iap web add-iam-policy-binding \ --resource-type=backend-services \ --service=BACKEND_SERVICE_NAME \ --member='PRINCIPAL' \ --role='roles/iap.httpsResourceAccessor' \ --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"Remplacez les éléments suivants :
BACKEND_SERVICE_NAME: nom du service de backend.PRINCIPAL: compte principal auquel accorder l'accès. Par exemple,group:my-group@example.com,user:test-user@example.comoudomain:example.com.EXPRESSION: expression de condition, écrite en langage CEL (Common Expression Language). Par exemple, cette expression peut être utilisée pour spécifier des niveaux d'accès afin de configurer l'accès contextuel.TITLE: titre de la condition.DESCRIPTION: description facultative de la condition. Cloud Workstations effectue toujours les vérifications IAM en fonction de la stratégie IAM configurée sur les ressources de station de travail individuelles. Pour éviter toute redondance, envisagez de configurer la règle IAP pour accorder des autorisations à un groupe étendu qui englobe tous les utilisateurs de postes de travail approuvés ou l'ensemble de votre domaine. Vous pouvez principalement utiliser cette règle pour spécifier des niveaux d'accès afin de configurer l'accès contextuel.
Pour en savoir plus sur l'octroi d'accès aux utilisateurs, consultez gcloud iap web add-iam-policy-binding.