Ativar o IAP

Use o Identity-Aware Proxy (IAP) para controlar o acesso aos aplicativos nas suas estações de trabalho. O IAP estabelece uma camada de autorização central, permitindo que você gerencie o acesso no nível do aplicativo em vez de depender de firewalls no nível da rede.

É possível controlar o acesso com base na identidade do usuário, na associação a grupos, na segurança do dispositivo, na localização, no endereço IP e em outros indicadores. Os usuários acessam aplicativos usando o navegador da Web e o HTTPS, enquanto as equipes de TI definem e aplicam políticas de acesso de forma centralizada em um só lugar.

Este documento descreve como ativar a IAP para aplicativos em estações de trabalho no seu cluster. O diagrama a seguir ilustra um cluster com a IAP ativada:

Figura 1. Cluster com a IAP ativada

Antes de começar

Antes de ativar a IAP para suas estações de trabalho, o cluster precisa do seguinte:

  • Um domínio personalizado:o IAP só é compatível com clusters de estação de trabalho que usam um domínio personalizado.
  • Um balanceador de carga de aplicativo:ele processa todo o tráfego HTTP de entrada usando um endpoint do Private Service Connect (PSC) e permite configurar o IAP.

Para configurar esses componentes, consulte Configurar domínios personalizados para o Cloud Workstations.

Ativar o proxy

Para ativar o IAP nas suas estações de trabalho, siga estas etapas:

  1. Ative o IAP no balanceador de carga de aplicativo do cluster executando o seguinte comando:

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
    --global

    Substitua:

    • BACKEND_SERVICE_NAME: o nome do serviço de back-end que você criou ao configurar um domínio personalizado para seu cluster.
    • CLIENT_ID: o ID do cliente OAuth 2.0.
    • CLIENT_SECRET: a chave secreta do cliente OAuth 2.0.

    Para mais informações sobre como configurar um balanceador de carga de aplicativo com o IAP ativado, consulte Ativar o IAP em um balanceador de carga.

  2. Conceder acesso a usuários no seu domínio:

     gcloud iap web add-iam-policy-binding \
     --resource-type=backend-services \
     --service=BACKEND_SERVICE_NAME \
     --member='PRINCIPAL' \
     --role='roles/iap.httpsResourceAccessor' \
     --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"

    Substitua:

    • BACKEND_SERVICE_NAME: o nome do serviço de back-end.
    • PRINCIPAL: o principal a quem conceder acesso. Por exemplo, group:my-group@example.com, user:test-user@example.com ou domain:example.com.
    • EXPRESSION: a expressão de condição, escrita na Common Expression Language (CEL). Por exemplo, essa expressão pode ser usada para especificar níveis de acesso e configurar o acesso baseado no contexto.
    • TITLE: um título para a condição.
    • DESCRIPTION: uma descrição opcional para a condição. O Cloud Workstations ainda realiza as verificações do IAM com base na política configurada nos recursos individuais da estação de trabalho. Para evitar redundância, configure a política da IAP para conceder permissões a um grupo amplo que abranja todos os usuários aprovados de estações de trabalho ou todo o seu domínio. Você pode usar essa política principalmente para especificar níveis de acesso e configurar o acesso baseado no contexto.

    Para mais informações sobre como conceder acesso aos usuários, consulte gcloud iap web add-iam-policy-binding.