為 App Engine 啟用 IAP

本頁說明如何使用 Identity-Aware Proxy (IAP) 保護 App Engine 執行個體。

事前準備

如要為 App Engine 啟用 IAP,請先準備好下列項目:

  • 啟用計費功能的 Google Cloud 主控台專案。

如果您尚未設定 App Engine 執行個體,請參閱部署 App Engine 一文,取得完整逐步操作說明。

IAP 會使用 Google 代管的 OAuth 用戶端來驗證使用者。只有貴機構的使用者可以存取啟用 IAP 的應用程式。 如要允許機構外部使用者存取,請參閱「為外部應用程式啟用 IAP」。

啟用 IAP

控制台

使用 Google Cloud 控制台啟用 IAP 時,無法使用 Google 代管的 OAuth 用戶端。

動態含括檔案

如果您尚未設定專案的 OAuth 同意畫面,系統會提示您進行設定。如要設定 OAuth 同意畫面,請參閱「設定 OAuth 同意畫面」。

設定 IAP 存取權

  1. 前往「Identity-Aware Proxy」頁面
    前往 Identity-Aware Proxy 頁面
  2. 選取要使用 IAP 保護的專案。
  3. 找出要授予存取權的資源,然後勾選旁邊的核取方塊。
  4. 在右側面板中,按一下「新增主體」
  5. 在顯示的「Add principals」(新增主體) 對話方塊中,輸入群組或個別使用者的電子郵件地址,其應擁有專案的「IAP-secured Web App User」(受 IAP 保護的網路應用程式使用者) 角色。

    下列類型的主體可以擁有這個角色:

    • Google 帳戶:user@gmail.com
    • Google 群組:admins@googlegroups.com
    • 服務帳戶:server@example.gserviceaccount.com
    • Google Workspace 網域:example.com

    請務必新增您可以存取的 Google 帳戶。

  6. 從「Roles」(角色) 下拉式清單中選取「Cloud IAP」>「IAP-secured Web App User」(受 IAP 保護的網頁應用程式使用者)
  7. 按一下「Save」(儲存)

正在啟用 IAP

  1. 在「Identity-Aware Proxy」頁面的「Applications」(應用程式) 下方,找到您要限制存取權的應用程式。如要為資源啟用 IAP,請
  2. 在隨即顯示的「開啟 IAP」視窗中,按一下「開啟」,確認要使用 IAP 保護資源。啟用 IAP 後,所有連線都必須提供登入憑證才能連上負載平衡器。只有專案中具有「受 IAP 保護的網頁應用程式使用者」(roles/iap.httpsResourceAccessor) 角色的主體,才能取得存取權。

gcloud

您需要最新版的 gcloud CLI,才能設定專案和 IAP。如需安裝 gcloud CLI 的操作說明,請參閱「安裝 gcloud CLI」。

  1. 如要驗證,請使用 Google Cloud CLI 執行下列指令。 
    gcloud auth login
  2. 點選畫面顯示的網址,然後登入。
  3. 登入之後,複製顯示的驗證碼並貼到指令列中。
  4. 執行下列指令,指定包含您要使用 IAP 保護的應用程式專案。
    gcloud config set project PROJECT_ID
  5. 如要啟用 IAP,請執行下列指令。
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. 將應擁有「IAP-Secured Web App User」(受 IAP 保護的網路應用程式使用者) 角色的主體新增至專案。
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • PROJECT_ID 替換為您的專案 ID。
    • 請將 PRINCIPAL_IDENTIFIER 替換為必要的管理者。這可以是網域、群組、服務帳戶或使用者的類型。例如 user:myemail@example.com

啟用 IAP 後,您可以使用 gcloud CLI 以 IAM 角色 roles/iap.httpsResourceAccessor 修改 IAP 存取權政策。進一步瞭解如何管理角色和權限

API

  1. 執行下列指令來準備 settings.json 檔案。

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. 執行下列指令,啟用 IAP。

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

啟用 IAP 後,您可以使用 Google Cloud CLI 以 IAM 角色 roles/iap.httpsResourceAccessor 修改 IAP 存取權政策。進一步瞭解如何管理角色和權限

測試使用者驗證

  1. 獲得角色後,主體就能透過 IAP 驗證存取應用程式。使用已獲授權的 Google 帳戶存取應用程式網址,該帳戶必須具備「受 IAP 保護的網頁應用程式使用者」角色 (roles/iap.httpsResourceAccessor)。

  2. 使用 Chrome 的無痕式視窗存取應用程式,並在系統提示時登入。獲派「受 IAP 保護的網路應用程式使用者」角色的使用者,只要通過驗證即可存取應用程式。如果使用者未獲派必要角色或驗證失敗,就無法存取應用程式。