Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

オンプレミスコネクタを使用した Google Cloud 以外のアプリケーションの保護

このガイドでは、IAP コネクタをデプロイして、 Google Cloud の外部にある HTTP または HTTPS ベースのオンプレミスアプリを Identity-Aware Proxy（IAP）で保護する方法について説明します。

始める前に

始める前に、次のものが必要になります。

HTTP または HTTPS ベースのオンプレミスアプリ。
プロジェクトでオーナー ロールが付与されている Cloud Identity メンバー。 Google Cloud

**注:** IAM の基本ロールは、リソースへの広範なアクセス権を付与する権限の強いロールです。 Google Cloud 本番環境では基本ロールを付与しないことをおすすめします。基本ロールは、開発環境またはテスト環境で付与できます。
オーナーロールが付与された Google API サービスエージェント。
課金が有効になっているプロジェクト。 Google Cloud
へのトラフィックの上り（内向き）ポイントとして使用する外部 URL Google Cloud。例: hr.example.com
Google Cloudへのトラフィックの受信ポイントとして使用する DNS ホスト名の SSL 証明書または TLS 証明書。既存のセルフマネージドまたは Google 管理の証明書を使用できます。証明書がない場合は、 Let's Encrypt を使用して証明書を作成してください。
VPC Service Controls が有効になっている場合、プロジェクト 278958399328 の gce-mesh バケットに対する VM サービスアカウントの cp アクションに対する下り（外向き）ポリシーが設定された VPC ネットワーク。このポリシーにより、gce-mesh バケットから Envoy バイナリファイルを取得する権限が VPC ネットワークに付与されます。この権限は、VPC Service Controls が有効になっていない場合、デフォルトで付与されます。
次の手順を行って、外部 IP を無効にします。
- IAP コネクタに使用される VPC サブネットでプライベート Google アクセスを有効にします。詳細については、プライベート Google アクセスをご覧ください。
- VPC ネットワークのファイアウォール構成で、VM が Google API とサービスの IP アドレスにアクセスできることを確認します。デフォルトでは、このアクセス権が付与されますが、ユーザーは明示的に変更できます。IP 範囲を確認する方法については、デフォルトドメインの IP アドレスをご覧ください。

オンプレミスアプリのコネクタのデプロイ

IAP ページに移動します。

IAP に移動
[Connect new application] をクリックし、[Connect via on-prem connector] を選択して、オンプレミスアプリのコネクタデプロイの設定を開始します。
必要な API が有効になっていることを確認するには、右側のパネルで [Enable APIs and continue] をクリックします。
構成の詳細を選択して [次へ] をクリックします。
- デプロイで Google が管理する証明書とユーザーが管理する証明書のどちらを使用するかを選択します。
- デプロイのネットワークとサブネットを選択します（または新しいものを作成することを選択します）。
追加するオンプレミスアプリの詳細を入力します。
- に送信されるリクエストの外部 URL を入力します Google Cloud。トラフィックはこの URL から環境内に入ります。
- アプリの名前を入力します。これは、ロードバランサの背後にある新しいバックエンドサービスの名前としても使用されます。
- リージョンを選択します。
- オンプレミスエンドポイントのタイプとその詳細を指定します。
  - 完全修飾ドメイン名（FQDN）: コネクタがトラフィックを転送するドメイン。
  - IP アドレス: IAP コネクタをデプロイする 1 つ以上のゾーン（例: us-central1-a）。各ゾーンで、ユーザーが承認および認証された後、IAP がトラフィックをルーティングするオンプレミスアプリの内部宛先の IPv4 アドレスを指定します。
  注: オンプレミスエンドポイントが IP アドレスの場合は、IAP オンプレミスコネクタの代わりに、ロードバランサでハイブリッド接続ネットワークエンドポイントグループを直接使用することを検討してください。
- オンプレミスエンドポイントで使用されるプロトコルを選択します。
- オンプレミスエンドポイントで使用されるポート番号（HTTPS の場合は 443、HTTP の場合は 80 など）を入力します。
[完了] をクリックしてアプリの詳細を保存します。デプロイ用のオンプレミスアプリを追加で定義することもできます。
定義したアプリのデプロイを開始するには、[送信] をクリックします。

デプロイが完了すると、オンプレミスコネクタアプリが [Applications] テーブルに表示され、IAP を有効にできます。

Google に証明書の自動生成と管理を任せる場合は、証明書のプロビジョニングに数分かかることがあります。Cloud Load Balancing の詳細ページでステータスを確認できます。ステータスの詳細については、トラブルシューティングページをご覧ください。

オンプレミスアプリのコネクタの管理

デプロイにアプリを追加するには、[Connect new application]、[Connect via オンプレミス connector] の順にクリックします。
デプロイ全体を削除してオンプレミスコネクタを削除するには、次の操作を行います。
1. Deployment Manager のページに移動します。
  
  Deployment Manager に移動
2. デプロイのリストで、「on-prem-app-deployment」デプロイの横にあるチェックボックスをオンにします。
3. ページの上部にある [削除] をクリックします。
個々のアプリを削除するには、[Applications] タブの削除ボタンをクリックします。オンプレミスコネクタには少なくとも 1 つのアプリが含まれている必要があります。すべてのアプリを削除するには、デプロイ全体を削除します。

次のステップ

アクセスレベルを適用して、より詳細なコンテキストルールを設定する。
Cloud Audit Logs でコンテキストアウェアアクセスのログを確認する。
IAP の詳細について学習する。