Esta página se ha traducido con Cloud Translation API.

Proteger aplicaciones de App Engine con IAP

En esta página se explica cómo desplegar una aplicación del entorno estándar o flexible de App Engine y protegerla con Identity-Aware Proxy (IAP). La guía de inicio rápido incluye código de ejemplo para una aplicación web del entorno estándar de App Engine que verifica el nombre de un usuario que ha iniciado sesión.

Si tienes previsto servir recursos desde una red de distribución de contenido (CDN), consulta la guía de prácticas recomendadas para obtener información importante.

Para proteger los recursos que no están en Google Cloud, consulta Proteger aplicaciones y recursos on-premise.

Antes de empezar

Para habilitar IAP para App Engine, necesitas lo siguiente:

Un proyecto de la consola de Google Cloud con la facturación habilitada. Google Cloud

Si aún no has configurado tu instancia de App Engine, consulta la guía completa para implementar App Engine.

IAP usa un cliente de OAuth gestionado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación con IAP. Si quieres permitir el acceso a usuarios ajenos a tu organización, consulta Habilitar las compras en aplicaciones para aplicaciones externas.

Habilitar IAP

Consola

El cliente de OAuth gestionado por Google no está disponible al habilitar IAP mediante la Google Cloud consola.

Archivo de inclusión dinámico

Si aún no has configurado la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo. Para configurar la pantalla de consentimiento de OAuth, consulta Configura la pantalla de consentimiento de OAuth.

Configura el acceso de IAP

Ve a la página Identity-Aware Proxy.
Ir a la página Identity-Aware Proxy
Selecciona el proyecto que deseas proteger con IAP.
Selecciona la casilla de verificación junto al recurso al que deseas otorgar acceso.
En el panel de la derecha, haz clic en Agregar principal.
En el cuadro de diálogo Agregar principales que aparece, ingresa las direcciones de correo electrónico de los grupos o personas a quienes se debe asignar la función Usuario de app web protegida con IAP para el proyecto.
Los siguientes tipos de cuentas principales pueden tener este rol:
- Cuenta de Google: usuario@gmail.com
- Grupo de Google: administradores@googlegroups.com
- Cuenta de servicio: servidor@ejemplo.gserviceaccount.com
- Dominio de Google Workspace: example.com
Asegúrate de agregar una Cuenta de Google a la que tengas acceso.
En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de aplicación web protegida con IAP.
Haz clic en Guardar.

Activa IAP

En la página Identity-Aware Proxy, en APPLICATIONS, busca la aplicación a la que deseas restringir el acceso. Para activar IAP para un recurso,
En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que deseas que IAP proteja tu recurso. Después de activar IAP, se requieren credenciales de acceso para todas las conexiones a tu balanceador de cargas. Solo las cuentas con la función Usuario de la aplicación web protegida con IAP en el proyecto tendrán acceso.

gcloud

Antes de configurar tu IAP y tu proyecto, necesitas una versión actualizada de la gcloud CLI. Para obtener instrucciones sobre cómo instalar la CLI de gcloud, consulta Instala la CLI de gcloud.

Para autenticarte, usa Google Cloud CLI y ejecuta el siguiente comando.
```
gcloud auth login
```
Haz clic en la URL que aparece y accede.
Después de acceder, copia el código de verificación que aparece y pégalo en la línea de comandos.
Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que deseas proteger con IAP.
```
gcloud config set project PROJECT_ID
```

Para habilitar IAP, ejecuta el siguiente comando.

gcloud iap web enable --resource-type=app-engine --versions=version

Agrega al proyecto las principales que deben tener el rol de usuario de aplicación web protegida con IAP.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Reemplaza PROJECT_ID con el ID del proyecto.
- Reemplaza PRINCIPAL_IDENTIFIER por los principales necesarios. Puede ser un tipo de dominio, grupo, cuenta de servicio o usuario. Por ejemplo, user:myemail@example.com.

Después de habilitar IAP, puedes usar la CLI de gcloud para modificar la política de acceso de IAP con el rol de IAM roles/iap.httpsResourceAccessor. Obtén más información sobre cómo administrar funciones y permisos.

API

Ejecuta el siguiente comando para preparar un archivo settings.json.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Ejecuta el siguiente comando para habilitar la IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Después de habilitar IAP, puedes usar Google Cloud CLI para modificar la política de acceso de IAP con el rol de IAM roles/iap.httpsResourceAccessor. Obtén más información sobre cómo administrar funciones y permisos.

Probar la autenticación de usuarios

Accede a la URL de la aplicación desde una cuenta de Google que hayas añadido a IAP con el rol Usuario de aplicaciones web protegidas mediante IAP, tal como se ha descrito anteriormente. Deberías poder acceder a ella sin problemas.
Usa una ventana de Incógnito en Chrome para acceder a la aplicación e inicia sesión cuando aparezca el mensaje correspondiente. Si intentas acceder a la aplicación con una cuenta que no tiene autorización con el rol Usuario de aplicación web protegida por IAP, verás un mensaje que indica que no tienes acceso.

Pasos siguientes

Define reglas de contexto más efectivas aplicando niveles de acceso.
Para ver las solicitudes de acceso, habilita los registros de auditoría de Cloud.
Consulta más información sobre IAP.
Consulta cómo obtener la identidad del usuario y desarrolla tu propia aplicación de App Engine.