Habilita IAP para App Engine

Console

El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la consola de Google Cloud .

Si aún no has configurado la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo. Para configurar la pantalla de consentimiento de OAuth, consulta Configura tu pantalla de consentimiento de OAuth.

Configura el acceso de IAP

1. Ve a la página Identity-Aware Proxy.
   Ir a la página Identity-Aware Proxy
2. Selecciona el proyecto que deseas proteger con IAP.
3. Selecciona la casilla de verificación junto al recurso al que deseas otorgar acceso.
4. En el panel de la derecha, haz clic en Agregar principal.
5. En el cuadro de diálogo Agregar principales que aparece, ingresa las direcciones de correo electrónico de los grupos o personas a quienes se debe asignar la función Usuario de app web protegida con IAP para el proyecto.

   Los siguientes tipos de principales pueden tener este rol:

   • Cuenta de Google: usuario@gmail.com
   • Grupo de Google: administradores@googlegroups.com
   • Cuenta de servicio: servidor@ejemplo.gserviceaccount.com
   • Dominio de Google Workspace: example.com

   Asegúrate de agregar una Cuenta de Google a la que tengas acceso.

6. En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de aplicación web protegida con IAP.
7. Haz clic en Guardar.

Activa IAP

1. En la página Identity-Aware Proxy, en Aplicaciones, busca la aplicación a la que deseas restringir el acceso. Para activar IAP para un recurso, activa o desactiva el botón en la columna IAP.
   
2. En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que deseas que IAP proteja tu recurso. Después de activar IAP, se requieren credenciales de acceso para todas las conexiones a tu balanceador de cargas. Solo se otorgará acceso a las principales con el rol Usuario de la aplicación web protegida con IAP (roles/iap.httpsResourceAccessor) en el proyecto.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

1. To authenticate, use the Google Cloud CLI and run the following command.

   gcloud auth login

2. Click the URL that appears and sign in.
3. After you sign in, copy the verification code that appears and paste it in the command line.
4. Run the following command to specify the project that contains the applications that you want to protect with IAP.

   gcloud config set project PROJECT_ID

5. To enable IAP, run the following command.

   gcloud iap web enable --resource-type=app-engine --versions=version

6. Add principals who should have the IAP-secured Web App user role to the project.

   gcloud projects add-iam-policy-binding PROJECT_ID \
          --member=PRINCIPAL_IDENTIFIER \
          --role=roles/iap.httpsResourceAccessor

   • Replace PROJECT_ID with your project ID.
   • Replace PRINCIPAL_IDENTIFIER with the necessary principals. This can be a type of domain, group, serviceAccount, or user. For example, user:myemail@example.com.

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

1. Run the following command to prepare a settings.json file.

   cat << EOF > settings.json
   {
   "iap":
     {
       "enabled":true
     }
   }
   EOF
   

2. Run the following command to enable IAP.

   curl -X PATCH \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d @settings.json \
   "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"
   

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.