אבטחת אפליקציות App Engine באמצעות IAP

המסוף

לקוח ה-OAuth שמנוהל על ידי Google לא זמין כשמפעילים את IAP באמצעות Google Cloud המסוף.

אם לא הגדרתם את מסך ההסכמה ל-OAuth של הפרויקט, תוצג לכם בקשה לעשות זאת. כדי להגדיר את מסך ההסכמה ל-OAuth, אפשר לעיין במאמר הגדרת מסך ההסכמה ל-OAuth.

הגדרת גישה ל-IAP

1. עוברים אל הדף של שרת proxy לאימות זהויות (IAP).
   עוברים לדף של שרת proxy לאימות זהויות (IAP)
2. בוחרים את הפרויקט שרוצים לאבטח באמצעות IAP.
3. מסמנים את התיבה לצד המשאב שרוצים להעניק לו גישה.
4. בחלונית הצדדית בצד שמאל, לוחצים על הוספת ישות.
5. בתיבת הדו-שיח Add principals שמופיעה, מזינים את כתובות האימייל של קבוצות או של אנשים פרטיים שצריכים לקבל את התפקיד IAP-secured Web App User בפרויקט.

   התפקיד הזה יכול להיות מוקצה לסוגים הבאים של חשבונות משתמשים:

   • חשבון Google: user@gmail.com
   • קבוצת Google: admins@googlegroups.com
   • חשבון שירות: server@example.gserviceaccount.com
   • דומיין ב-Google Workspace: example.com

   חשוב להוסיף חשבון Google שיש לכם גישה אליו.

6. בתפריט הנפתח תפקידים, בוחרים באפשרות Cloud IAP > IAP-secured Web App User (Cloud IAP > משתמש באפליקציית אינטרנט מאובטחת באמצעות IAP).
7. לוחצים על Save.

הפעלת IAP

1. בדף שרת proxy לאימות זהויות (IAP), בקטע Applications, מוצאים את האפליקציה שרוצים להגביל את הגישה אליה. כדי להפעיל את IAP למשאב, מעבירים את המתג להפעלה או להשבתה בעמודה IAP.
   
2. בחלון Turn on IAP שמופיע, לוחצים על Turn On כדי לאשר שרוצים ש-IAP יאבטח את המשאב. אחרי שמפעילים את IAP, נדרשים פרטי כניסה לכל החיבורים למאזן העומסים. רק לחשבונות ראשיים עם התפקיד 'משתמש באפליקציית אינטרנט מאובטחת ב-IAP' (roles/iap.httpsResourceAccessor) בפרויקט תהיה גישה.

gcloud

לפני שמגדירים את הפרויקט ואת הרכישות מתוך האפליקציה, צריך לוודא שיש לכם גרסה עדכנית של ה-CLI של gcloud. הוראות להתקנת ה-CLI של gcloud מופיעות במאמר התקנת gcloud CLI.

1. כדי לבצע אימות, משתמשים ב-CLI של Google Cloud ומריצים את הפקודה הבאה.

   gcloud auth login

2. לוחצים על כתובת ה-URL שמופיעה ונכנסים לחשבון.
3. אחרי הכניסה לחשבון, מעתיקים את קוד האימות שמופיע ומדביקים אותו בשורת הפקודה.
4. מריצים את הפקודה הבאה כדי לציין את הפרויקט שמכיל את האפליקציות שרוצים להגן עליהן באמצעות IAP.

   gcloud config set project PROJECT_ID

5. כדי להפעיל את IAP, מריצים את הפקודה הבאה.

   gcloud iap web enable --resource-type=app-engine --versions=version

6. מוסיפים לפרויקט את הגורמים הראשיים שצריכה להיות להם הרשאה של משתמש באפליקציית אינטרנט מאובטחת באמצעות IAP.

   gcloud projects add-iam-policy-binding PROJECT_ID \
          --member=PRINCIPAL_IDENTIFIER \
          --role=roles/iap.httpsResourceAccessor

   • מחליפים את PROJECT_ID במזהה הפרויקט.
   • מחליפים את PRINCIPAL_IDENTIFIER בחשבונות הראשיים הנדרשים. זה יכול להיות סוג של דומיין, קבוצה, חשבון שירות או משתמש. לדוגמה, user:myemail@example.com.

אחרי שמפעילים את IAP, אפשר להשתמש ב-CLI של gcloud כדי לשנות את מדיניות הגישה של IAP באמצעות תפקיד ה-IAM‏ roles/iap.httpsResourceAccessor. מידע נוסף על ניהול תפקידים והרשאות

API

1. מריצים את הפקודה הבאה כדי להכין קובץ settings.json.

   cat << EOF > settings.json
   {
   "iap":
     {
       "enabled":true
     }
   }
   EOF
   

2. מריצים את הפקודה הבאה כדי להפעיל את IAP.

   curl -X PATCH \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d @settings.json \
   "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"
   

אחרי שמפעילים את IAP, אפשר להשתמש ב-Google Cloud CLI כדי לשנות את מדיניות הגישה של IAP באמצעות תפקיד ה-IAM‏ roles/iap.httpsResourceAccessor. מידע נוסף על ניהול תפקידים והרשאות