Ressourcenzugriff auf bestimmte Domains beschränken

Zur Verbesserung der allgemeinen Sicherheit wird der Zugriff auf Anfragen ohne passende SNI (Server Name Indication) standardmäßig verweigert. IAP prüft auch den SNI des Load-Balancer-Zertifikats. So kann IAP die URL-Weiterleitung auf schädliche Domains einschränken. Die Funktion „Zugelassene IAP-Domains“ bietet eine zusätzliche Sicherheitsebene für Ihre IAP-geschützten Ressourcen. Als Ressourceninhaber oder IAP-Administrator können Sie den Zugriff auf IAP-geschützte Ressourcen auf bestimmte Domains beschränken, indem Sie die Funktion für zulässige Domains konfigurieren.

Sie können auch in den folgenden Fällen Domains auf der Zulassungsliste für IAP konfigurieren:

  • Ihr Browser oder ein zwischengeschalteter Proxy erzwingt Connection Pooling:In diesem Fall erhalten Sie die HTTP-Antwort 429 und den Fehlercode 51. Um das Problem zu beheben, kann ein IAP-Administrator die Liste der zulässigen Domains aktualisieren und Ihren Hostnamen hinzufügen.
  • Der angegebene Hostname stimmt nicht mit dem SSL-Zertifikat auf dem Server überein:In diesem Fall erhalten Sie den Fehlercode 52. Ein IAP-Administrator kann die Liste der zulässigen Domains aktualisieren, um Ihren Hostnamen hinzuzufügen.

Zulässige Domains konfigurieren

Sie können die Einstellungen für zulässige Domains mit gcloud oder der API konfigurieren. Verwenden Sie die folgenden Felder, um zulässige Domains zu konfigurieren:

  • enable: Boolesch. Aktiviert oder deaktiviert die Funktion für zulässige Domains.
  • Domains: String. Die Liste der zulässigen Domains. Die Domains können Platzhalterpräfixe wie *.example.com. enthalten. Domainnamen dürfen keinen Platzhalter direkt in einem öffentlichen Suffix oder einer Top-Level-Domain enthalten. Beispiel: *.com, *.co.in.

Weitere Informationen finden Sie unter IapSettings.

So konfigurieren Sie zulässige IAP-Domains:

Console

  1. Rufen Sie die IAP-Seite auf.
    Zum Identity-Aware Proxy
  2. Wählen Sie ein Projekt und dann die Ressource aus, für die Sie das Feature „Zugelassene Domains“ aktivieren möchten.
  3. Öffnen Sie die Einstellungen für die Ressource. Wählen Sie unter Zugelassene Domains die Option Zugelassene Domains aktivieren aus.
  4. Geben Sie die Liste der zulässigen Domains an und klicken Sie auf Speichern.

gcloud

Im Folgenden finden Sie einige Beispielbefehle zum Angeben zulässiger Domains.

Weitere Informationen finden Sie unter gcloud iap settings set.

Führen Sie dazu diesen Befehl aus:

gcloud iap settings set SETTING_FILE --folder=FOLDER --organization=ORGANIZATION --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Wo SETTING_FILE Folgendes ist:

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

Ersetzen Sie Folgendes:

  • FOLDER: Die Ordner-ID.
  • ORGANIZATION: Die Organisations-ID.
  • PROJECT: die Projekt-ID
  • RESOURCE_TYPE: Der IAP-Ressourcentyp. Muss app-engine, iap_web, compute, organization, folder, backend-services, forwarding-rule oder cloud-run sein.
  • SERVICE: Der Dienstname. Dies ist optional, wenn resource-type compute oder app-engine ist.
  • VERSION: Der Versionsname. Dies gilt nicht für compute und ist optional, wenn resource-type gleich app-engine ist.

Sie müssen mindestens eines der folgenden Flags angeben, um den Bereich für die Einstellungen zu definieren:

  • --organization=ORGANIZATION
  • --folder=FOLDER
  • --project=PROJECT

API

Führen Sie die folgenden Schritte aus, um zulässige Domains zu konfigurieren. Weitere Informationen zur Verwendung der API zum Konfigurieren zulässiger Domains finden Sie unter IapSettings.

  1. Führen Sie den folgenden Befehl aus, um eine iap_settings.json-Datei vorzubereiten. Aktualisieren Sie die Werte nach Bedarf.
 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }
  1. Rufen Sie den Ressourcennamen mit dem Befehl gcloud iap settings get ab. Kopieren Sie das Feld „name“ aus der Ausgabe. Sie benötigen den Namen im nächsten Schritt.
gcloud iap settings get --organization=ORGANIZATION --folder=FOLDER --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
  1. Ersetzen Sie RESOURCE_NAME im folgenden Befehl durch den Namen aus dem vorherigen Schritt. Die IapSettings wird aktualisiert.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"

Fehlerbehebung

Problem mit dem Zugriff auf zugelassene Domains
Wenn Sie Fehlercode 53 erhalten, bitten Sie einen IAP-Administrator, Ihren Hostnamen der Liste der zugelassenen Domains hinzuzufügen.