Attivare IAP

Utilizza Identity-Aware Proxy (IAP) per controllare l'accesso alle applicazioni sulle workstation. IAP definisce un livello di autorizzazione centrale, che ti consente di gestire l'accesso a livello di applicazione anziché fare affidamento su firewall a livello di rete.

Puoi controllare l'accesso in base a identità dell'utente, appartenenza al gruppo, sicurezza del dispositivo, posizione, indirizzo IP e altri indicatori. Gli utenti accedono alle applicazioni utilizzando il browser web e HTTPS, mentre i team IT definiscono e applicano centralmente le norme di accesso in un unico posto.

Questo documento descrive come attivare IAP per le applicazioni sulle workstation del cluster. Il seguente diagramma illustra un cluster con IAP abilitato:

Figura 1. Cluster con IAP abilitato

Prima di iniziare

Prima di poter abilitare IAP per le workstation, il cluster deve disporre di quanto segue:

  • Un dominio personalizzato:IAP è supportato solo sui cluster di workstation che utilizzano un dominio personalizzato.
  • Un bilanciatore del carico delle applicazioni: questo bilanciatore del carico gestirà tutto il traffico HTTP in entrata utilizzando un endpoint Private Service Connect (PSC) e ti consente di configurare IAP.

Per configurare questi componenti, vedi Configurare domini personalizzati per Cloud Workstations.

Attiva il proxy

Per abilitare IAP per le workstation:

  1. Abilita IAP sul bilanciatore del carico delle applicazioni del cluster eseguendo questo comando:

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
        --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
        --global
    

    Sostituisci quanto segue:

    • BACKEND_SERVICE_NAME: il nome del servizio di backend creato durante la configurazione di un dominio personalizzato per il cluster.
    • CLIENT_ID: l'ID client OAuth 2.0.
    • CLIENT_SECRET: il client secret OAuth 2.0.

    Per ulteriori informazioni sulla configurazione di un bilanciatore del carico delle applicazioni con IAP abilitato, consulta Abilitare IAP su un bilanciatore del carico.

  2. Concedi l'accesso agli utenti del tuo dominio:

     gcloud iap web add-iam-policy-binding \
         --resource-type=backend-services \
         --service=BACKEND_SERVICE_NAME \
         --member='PRINCIPAL' \
         --role='roles/iap.httpsResourceAccessor' \
         --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"
    

    Sostituisci quanto segue:

    • BACKEND_SERVICE_NAME: il nome del servizio di backend.
    • PRINCIPAL: l'entità a cui concedere l'accesso. Ad esempio, group:my-group@example.com, user:test-user@example.com o domain:example.com.
    • EXPRESSION: l'espressione della condizione, scritta in Common Expression Language (CEL). Ad esempio, questa espressione può essere utilizzata per specificare i livelli di accesso per configurare l'accesso sensibile al contesto.
    • TITLE: un titolo per la condizione.
    • DESCRIPTION: una descrizione facoltativa della condizione. Cloud Workstations esegue comunque i controlli IAM in base al criterio IAM configurato sulle singole risorse workstation. Per evitare ridondanze, valuta la possibilità di configurare la policy IAP in modo da concedere autorizzazioni a un gruppo ampio che comprenda tutti gli utenti delle workstation approvati o l'intero dominio. Puoi utilizzare principalmente questa policy per specificare i livelli di accesso per configurare l'accesso sensibile al contesto.

    Per ulteriori informazioni sulla concessione dell'accesso agli utenti, consulta gcloud iap web add-iam-policy-binding.