Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Sécuriser des applications autres que Google Cloud à l'aide du connecteur sur site

Cette page explique comment sécuriser une application basée sur HTTP ou HTTPS, sur site en dehors deGoogle Cloud , à l'aide d'Identity-Aware Proxy (IAP) en déployant un connecteur IAP.

Avant de commencer

Avant de commencer, vous avez besoin des éléments suivants :

Une application sur site basée sur HTTP ou HTTPS.
Un membre Cloud Identity auquel le rôle Propriétaire a été accordé sur votre projet Google Cloud .

Remarque : Les rôles de base IAM sont des rôles très permissifs qui offrent un accès étendu aux ressources Google Cloud . Nous vous recommandons d'éviter d'accorder des rôles de base dans un environnement de production. Vous pouvez attribuer des rôles de base dans un environnement de développement ou de test.
L'agent de service des API Google est doté du rôle de propriétaire.
Un projet Google Cloud pour lequel la facturation est activée.
URL externe à utiliser comme point d'entrée du trafic versGoogle Cloud. Exemple :hr.example.com
Un certificat SSL ou TLS pour le nom d'hôte DNS utilisé comme point d'entrée du trafic vers Google Cloud. Un certificat existant autogéré ou géré par Google peut être utilisé. Si vous n'avez pas de certificat, créez-en un à l'aide de Let's Encrypt.
Si VPC Service Controls est activé, un réseau VPC avec une règle de sortie sur l'action cp pour le compte de service de VM à destination du bucket gce-mesh dans le projet 278958399328. La stratégie accorde au réseau VPC l'autorisation de récupérer le fichier binaire Envoy à partir du bucket gce-mesh. L'autorisation est accordée par défaut si VPC Service Controls n'est pas activé.
Pour désactiver une adresse IP externe, procédez comme suit :
- Activez l'accès privé à Google sur le sous-réseau VPC utilisé pour le connecteur IAP. Pour en savoir plus, consultez Accès privé à Google.
- Vérifiez que la configuration du pare-feu du réseau VPC permet aux VM d'accéder aux adresses IP des API et services Google. Par défaut, cet accès est accordé, mais les utilisateurs peuvent le modifier explicitement. Pour savoir comment trouver la plage d'adresses IP, consultez Adresses IP pour les domaines par défaut.

Déployer un connecteur pour une application sur site

Accédez à la page IAP.

Accéder à IAP
Pour commencer à configurer le déploiement de votre connecteur pour une application sur site, cliquez sur Connecter une nouvelle application, puis sélectionnez Connecter via un connecteur sur site.
Pour vous assurer que les API requises sont activées, cliquez sur Activer les API et continuer dans le panneau de droite.
Sélectionnez les informations de configuration, puis cliquez sur Suivant :
- Choisissez si le déploiement doit utiliser un certificat géré par Google ou un certificat que vous gérez vous-même.
- Sélectionnez le réseau et le sous-réseau pour le déploiement (ou créez-en un nouveau).
Renseignez les informations suivantes pour l'application sur site que vous souhaitez ajouter :
- Saisissez l'URL externe des requêtes provenant de Google Cloud. Cette URL correspond au trafic entrant dans l'environnement.
- Saisissez un nom pour l'application. Il servira également de nom au nouveau service de backend derrière l'équilibreur de charge.
- Sélectionnez la région.
- Indiquez le type de point de terminaison sur site et ses détails :
  - Nom de domaine complet : domaine vers lequel le connecteur doit transférer le trafic.
  - Adresse IP : une ou plusieurs zones dans lesquelles le connecteur IAP doit être déployé (par exemple, us-central1-a). Pour chaque zone, spécifiez l'adresse IPv4 de la destination interne de l'application sur site vers laquelle IAP achemine le trafic après qu'un utilisateur a été autorisé et authentifié.
  Remarque : Si votre point de terminaison sur site est une adresse IP, envisagez d'utiliser un groupe de points de terminaison réseau de connectivité hybride directement avec un équilibreur de charge au lieu d'utiliser le connecteur IAP sur site.
- Sélectionnez le protocole utilisé par le point de terminaison sur site.
- Saisissez le numéro de port utilisé par le point de terminaison sur site, par exemple 443 pour HTTPS ou 80 pour HTTP.
Pour enregistrer les informations concernant cette application, cliquez sur OK. Vous pouvez également définir d'autres applications sur site pour le déploiement.
Pour lancer le déploiement des applications que vous avez définies, cliquez sur Envoyer.

Une fois le déploiement terminé, vos applications de connecteur sur site apparaissent dans le tableau Applications et vous pouvez activer IAP.

Si vous choisissez de laisser Google générer et gérer automatiquement les certificats, le provisionnement des certificats peut prendre quelques minutes. Vous pouvez vérifier l'état sur la page de détails de Cloud Load Balancing. Pour plus d'informations sur l'état, consultez la page Dépannage.

Gérer un connecteur pour une application sur site

Pour ajouter d'autres applications à votre déploiement, cliquez sur Connecter une nouvelle application, puis sur Connecter via un connecteur sur site.
Pour supprimer le connecteur sur site en supprimant l'intégralité du déploiement, procédez comme suit :
1. Accédez à la page "Deployment Manager".
  
  Accéder à Deployment Manager
2. Dans la liste des déploiements, cochez la case située à côté du déploiement "on-prem-app-deployment".
3. En haut de la page, cliquez sur Supprimer.
Pour supprimer des applications individuelles, cliquez sur le bouton de suppression dans l'onglet Applications. Le connecteur sur site doit contenir au moins une application. Pour supprimer toutes les applications, supprimez l'ensemble du déploiement.

Étapes suivantes

Définissez des règles de contexte plus riches en appliquant des niveaux d'accès.
Consultez Journaux d'accès contextuel dans Cloud Audit Logs.
Découvrez-en plus sur IAP.