Ative a IAP

Use o Identity-Aware Proxy (IAP) para controlar o acesso às aplicações nas suas estações de trabalho. O IAP estabelece uma camada de autorização central, o que lhe permite gerir o acesso ao nível da aplicação em vez de depender de firewalls ao nível da rede.

Pode controlar o acesso com base na identidade do utilizador, na associação a grupos, na segurança do dispositivo, na localização, no endereço IP e noutros sinais. Os utilizadores acedem às aplicações através do respetivo navegador de Internet e HTTPS, enquanto as equipas de TI definem e aplicam centralmente políticas de acesso num único local.

Este documento descreve como ativar o IAP para aplicações em estações de trabalho no seu cluster. O diagrama seguinte ilustra um cluster com a CNA ativada:

Figura 1. Cluster com IAP ativado

Antes de começar

Antes de poder ativar a IAP para as suas estações de trabalho, o cluster precisa do seguinte:

  • Um domínio personalizado: o IAP só é suportado em clusters de estações de trabalho que usam um domínio personalizado.
  • Um Application Load Balancer: este balanceador de carga processa todo o tráfego HTTP de entrada através de um ponto final do Private Service Connect (PSC) e permite-lhe configurar o IAP.

Para configurar estes componentes, consulte o artigo Configure domínios personalizados para o Cloud Workstations.

Ative o proxy

Para ativar o IAP para as suas estações de trabalho, siga estes passos:

  1. Ative o IAP no Application Load Balancer do cluster executando o seguinte comando:

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
    --global

    Substitua o seguinte:

    • BACKEND_SERVICE_NAME: o nome do serviço de back-end que criou ao configurar um domínio personalizado para o seu cluster.
    • CLIENT_ID: o ID de cliente OAuth 2.0.
    • CLIENT_SECRET: o segredo do cliente OAuth 2.0.

    Para mais informações sobre como configurar um Application Load Balancer com o IAP ativado, consulte o artigo Ative o IAP num equilibrador de carga.

  2. Conceda acesso aos utilizadores no seu domínio:

     gcloud iap web add-iam-policy-binding \
     --resource-type=backend-services \
     --service=BACKEND_SERVICE_NAME \
     --member='PRINCIPAL' \
     --role='roles/iap.httpsResourceAccessor' \
     --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"

    Substitua o seguinte:

    • BACKEND_SERVICE_NAME: o nome do serviço de back-end.
    • PRINCIPAL: o principal ao qual conceder acesso. Por exemplo, group:my-group@example.com, user:test-user@example.com ou domain:example.com.
    • EXPRESSION: a expressão de condição, escrita no Idioma de expressão comum (IEC). Por exemplo, esta expressão pode ser usada para especificar níveis de acesso para configurar o acesso sensível ao contexto.
    • TITLE: um título para a condição.
    • DESCRIPTION: uma descrição opcional da condição. O Cloud Workstations continua a realizar as verificações de IAM com base na política de IAM configurada nos recursos individuais da estação de trabalho. Para evitar redundâncias, considere configurar a política de IAP para conceder autorizações a um grupo alargado que abranja todos os utilizadores de estações de trabalho aprovados ou todo o seu domínio. Pode usar principalmente esta política para especificar níveis de acesso para configurar o acesso sensível ao contexto.

    Para mais informações sobre como conceder acesso a utilizadores, consulte o artigo gcloud iap web add-iam-policy-binding.