Mengaktifkan IAP

Gunakan Identity-Aware Proxy (IAP) untuk mengontrol akses ke aplikasi di workstation Anda. IAP membuat lapisan otorisasi pusat, sehingga Anda dapat mengelola akses di tingkat aplikasi, bukan mengandalkan firewall tingkat jaringan.

Anda dapat mengontrol akses berdasarkan identitas pengguna, keanggotaan grup, keamanan perangkat, lokasi, alamat IP, dan sinyal lainnya. Pengguna mengakses aplikasi menggunakan browser web dan HTTPS, sementara tim IT menentukan dan menerapkan kebijakan akses secara terpusat di satu tempat.

Dokumen ini menjelaskan cara mengaktifkan IAP untuk aplikasi di workstation dalam cluster Anda. Diagram berikut mengilustrasikan cluster dengan IAP yang diaktifkan:

Gambar 1. Cluster dengan IAP diaktifkan

Sebelum memulai

Sebelum Anda dapat mengaktifkan IAP untuk workstation, cluster Anda memerlukan hal berikut:

  • Domain kustom: IAP hanya didukung di cluster workstation yang menggunakan domain kustom.
  • Load Balancer Aplikasi: Load balancer ini akan menangani semua traffic HTTP ingress menggunakan endpoint Private Service Connect (PSC) dan memungkinkan Anda mengonfigurasi IAP.

Untuk menyiapkan komponen ini, lihat Menyiapkan domain kustom untuk Cloud Workstations.

Mengaktifkan proxy

Untuk mengaktifkan IAP bagi workstation Anda, ikuti langkah-langkah berikut:

  1. Aktifkan IAP di Load Balancer Aplikasi cluster, dengan menjalankan perintah berikut:

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
    --global

    Ganti kode berikut:

    • BACKEND_SERVICE_NAME: nama layanan backend yang Anda buat saat menyiapkan domain kustom untuk cluster Anda.
    • CLIENT_ID: client ID OAuth 2.0.
    • CLIENT_SECRET: rahasia klien OAuth 2.0.

    Untuk mengetahui informasi selengkapnya tentang cara menyiapkan Load Balancer Aplikasi dengan IAP diaktifkan, lihat Mengaktifkan IAP di load balancer.

  2. Memberi akses kepada pengguna di domain Anda:

     gcloud iap web add-iam-policy-binding \
     --resource-type=backend-services \
     --service=BACKEND_SERVICE_NAME \
     --member='PRINCIPAL' \
     --role='roles/iap.httpsResourceAccessor' \
     --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"

    Ganti kode berikut:

    • BACKEND_SERVICE_NAME: nama layanan backend.
    • PRINCIPAL: akun utama yang akan diberi akses. Misalnya, group:my-group@example.com, user:test-user@example.com, atau domain:example.com.
    • EXPRESSION: ekspresi kondisi, yang ditulis dalam Common Expression Language (CEL). Misalnya, ekspresi ini dapat digunakan untuk menentukan tingkat akses guna mengonfigurasi akses kontekstual.
    • TITLE: judul untuk kondisi.
    • DESCRIPTION: deskripsi opsional untuk kondisi. Cloud Workstations tetap melakukan pemeriksaan IAM berdasarkan kebijakan IAM yang dikonfigurasi pada resource workstation individual. Untuk menghindari redundansi, pertimbangkan untuk mengonfigurasi kebijakan IAP untuk memberikan izin kepada grup luas yang mencakup semua pengguna workstation yang disetujui, atau seluruh domain Anda. Anda dapat menggunakan kebijakan ini terutama untuk menentukan tingkat akses guna mengonfigurasi akses kontekstual.

    Untuk mengetahui informasi selengkapnya tentang pemberian akses kepada pengguna, lihat gcloud iap web add-iam-policy-binding.