Usa políticas de autorización para delegar la autorización a IAP y IAM

En esta página, se describe cómo usar políticas de autorización para designar Identity-Aware Proxy (IAP) como el motor de autorización personalizado en una política de autorización para balanceadores de cargas de aplicaciones.

Para delegar la autorización en IAP y en Identity and Access Management (IAM), autoriza el tráfico a una regla de reenvío según las identidades de IAM o de usuario final para los balanceadores de cargas administrados. Esto te permite aplicar el control de acceso basado en la IAP para tus servicios de backend.

Antes de comenzar

Crea la política de autorización y habilita IAP

Para crear una política de autorización, debes crear un archivo de política que defina el destino y las reglas, y, luego, habilitar IAP en la regla de reenvío. Puedes optar por aplicar la IAP solo a solicitudes específicas definiendo condiciones en la sección httpRules de tu archivo de política. Si se omite la sección httpRules, se aplica la IAP a todas las solicitudes.

gcloud

  1. Run the following command to prepare a policy.yaml file. The policy allows clients with an IP address range of 10.0.0.0/24 to enable IAP on a forwarding rule.
$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
httpRules:
  - from:
      sources:
      - ipBlocks:
        - prefix: "10.0.0.0"
          length: 24
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF
  1. Run the following command to enable IAP on a forwarding rule.
gcloud network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Replace the following:

  • PROJECT_ID: The Google Cloud project ID.
  • LOCATION: The region that the resource is located in.
  • FORWARDING_RULE_ID: The ID of the forwarding rule resource.
  • AUTHZ_POLICY_NAME: The name of the authorization policy.

API

  1. Run the following command to prepare a policy.json file. 
    cat << EOF > policy.json
{
"name": "AUTHZ_POLICY_NAME",
"target": {
  "loadBalancingScheme": "INTERNAL_MANAGED",
  "resources": [
    "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
  ],
},
"action": "CUSTOM",
"httpRules": [
  {
    "from": {
      "sources": {
        "ipBlocks": [
          {
            "prefix": "10.0.0.0",
            "length": 24
          }
        ]
      }
    }
  }
],
"customProvider": {
  "cloudIap": {}
}
}
EOF

  2. Run the following command to enable IAP on a forwarding rule. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @policy.json \
"https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"

    Replace the following:

    • PROJECT_ID: The Google Cloud project ID.
    • LOCATION: The region that the resource is located in.
    • FORWARDING_RULE_ID: The ID of the forwarding rule resource.
    • AUTHZ_POLICY_NAME: The name of the authorization policy.

Cómo aplicar permisos a los recursos

Puedes usar la API de IAP para aplicar permisos de IAM a recursos individuales en un proyecto protegido con IAP. Los permisos de IAM otorgados a un nivel determinado se aplican a todos los niveles por debajo de este. Por ejemplo, un permiso otorgado a nivel de proyecto se aplica a todos los recursos Google Cloud del proyecto.

A continuación, se muestran algunos ejemplos de comandos para configurar permisos. Para obtener más información, consulta gcloud iap web set-iam-policy:

gcloud

En los comandos de ejemplo, reemplaza POLICY_FILE por la ruta de acceso a un archivo con formato YAML que contenga una política válida. A continuación, se muestra un ejemplo de un archivo YAML:

bindings:
  members: user:example@example.com
  role: roles/iap.httpsResourceAccessor

Actualiza el permiso para determinar quién puede acceder al recurso de regla de reenvío

gcloud iap web set-iam-policy POLICY_FILE [--organization=ORGANIZATION \
--folder=FOLDER --project=PROJECT_ID \
--resource-type=RESOURCE_TYPE --service=SERVICE]

Configura el permiso a nivel de la organización

gcloud iap web set-iam-policy POLICY_FILE --organization=ORGANIZATION

Configura permisos a nivel de la carpeta

gcloud iap web set-iam-policy POLICY_FILE --folder=FOLDER

Configura permisos a nivel del proyecto

gcloud iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=iap_web

Configura permisos para todas las reglas de reenvío globales de un proyecto

gcloud iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=forwarding_rule

Configura el permiso para todas las reglas de reenvío de un proyecto en una región

gcloud iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --region=REGION

Configura el permiso para una regla de reenvío global específica en un proyecto

gcloud iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --service=SERVICE

Configura el permiso para una regla de reenvío específica en un proyecto de una región

gcloud iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \
--resource-type=forwarding_rule --service=SERVICE --region=REGION

Reemplaza lo siguiente:

  • POLICY_FILE: Es la ruta de acceso a un archivo YAML que contiene una política válida.
  • ORGANIZATION: Es el ID de tu organización.
  • FOLDER: Es la carpeta que contiene tu aplicación.
  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • RESOURCE_TYPE: Es el tipo de recurso de la IAP. El tipo de recurso debe ser app-engine, iap_web, compute, organization o folder.
  • SERVICE: Es el ID o el nombre de la regla de reenvío.
  • REGION: Es la región en la que se encuentra el recurso.

API

Configura el permiso a nivel de la organización

organization/ORGANIZATION

Configura permisos a nivel de la carpeta

folders/FOLDER

Configura permisos a nivel del proyecto

projects/PROJECT_ID

Configura permisos para todas las reglas de reenvío globales de un proyecto

projects/PROJECT_ID/forwarding_rule

Configura el permiso para todas las reglas de reenvío de un proyecto en una región

projects/PROJECT_ID/iap_web/forwarding_rule-REGION

Configura el permiso para una regla de reenvío global específica en un proyecto

projects/PROJECT_ID/iap_web/forwarding_rule/services/SERVICE

Configura el permiso para una regla de reenvío específica en un proyecto de una región

projects/PROJECT_ID/iap_web/forwarding_rule-REGION/services/SERVICE

Establece la política de autorización

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @policy.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"

En el caso de policy.json, puedes crear el archivo JSON ejecutando el siguiente comando. Actualiza los valores según sea necesario.

cat << EOF > policy.json
{
  "bindings": {
     "members": "user:example@example.com",
     "role": "roles/iap.httpsResourceAccessor",
   }
}
EOF

Reemplaza lo siguiente:

  • ORGANIZATION: Es el ID de tu organización.
  • FOLDER: Es la carpeta que contiene tu aplicación.
  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • REGION: Es la región en la que se encuentra el recurso.
  • SERVICE: Es el ID o el nombre de la regla de reenvío.