Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Habilita IAP para App Engine

En esta página, se explica cómo proteger una instancia de App Engine con Identity-Aware Proxy (IAP).

Antes de comenzar

Con el fin de habilitar IAP para App Engine, necesitas lo siguiente:

Un proyecto de la Google Cloud consola con facturación habilitada

Si aún no configuraste tu instancia de App Engine, consulta Implementa App Engine para obtener una explicación completa.

IAP usa un cliente de OAuth administrado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.

Habilita IAP

Console

El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la Google Cloud consola.

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

Turning on IAP

On the Identity-Aware Proxy page, under Applications, find the application you want to restrict access to. To turn on IAP for a resource,
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only principals with the IAP-Secured Web App User (roles/iap.httpsResourceAccessor) role on the project will be given access.

gcloud

Antes de configurar tu IAP y tu proyecto, necesitas una versión actualizada de gcloud CLI. Si deseas obtener instrucciones para instalar gcloud CLI, consulta Instala la CLI de gcloud.

Para autenticarte, usa Google Cloud CLI y ejecuta el siguiente comando.
```
gcloud auth login
```
Haz clic en la URL que aparece y accede.
Después de acceder, copia el código de verificación que aparece y pégalo en la línea de comandos.
Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que deseas proteger con IAP.
```
gcloud config set project PROJECT_ID
```

Para habilitar IAP, ejecuta el siguiente comando.

gcloud iap web enable --resource-type=app-engine --versions=version

Agrega las principales que deberían tener el rol de usuario de aplicación web protegida con IAP al proyecto.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Reemplaza PROJECT_ID con el ID del proyecto.
- Reemplaza PRINCIPAL_IDENTIFIER con las principales necesarias. Puede ser un tipo de dominio, grupo, cuenta de servicio o usuario. Por ejemplo, user:myemail@example.com.

Después de habilitar IAP, puedes usar gcloud CLI para modificar la política de acceso de IAP con el rol de IAM roles/iap.httpsResourceAccessor. Obtén más información sobre cómo administrar funciones y permisos.

API

Run the following command to prepare a settings.json file.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Run the following command to enable IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Nota: Cuando una aplicación de App Engine consta de varios servicios, para que algunos puedan ser de acceso público y mantener otros restringidos, habilita IAP en toda la aplicación y, luego, otorga la función de Usuario de aplicación web protegida con IAP a allUsers o allAuthenticatedUsers en los servicios que deben ser públicos.

Acceso basado en roles: Solo se otorga acceso a las principales con el rol Usuario de aplicación web protegida con IAP (roles/iap.httpsResourceAccessor) en este proyecto. El acceso a las aplicaciones protegidas por IAP no se otorga automáticamente, incluso a los roles con permisos extensos, como Owner o Editor.

Prueba la autenticación de usuarios de prueba

Una vez que se otorga el rol, las principales pueden acceder a la app después de autenticarse con IAP. Accede a la URL de la app desde una Cuenta de Google a la que se le otorgó IAP con el rol Usuario de aplicación web protegida con IAP (roles/iap.httpsResourceAccessor).
Usa una ventana de incógnito en Chrome para acceder a la aplicación y cuando se te solicite. Los usuarios a los que se les otorga el rol Usuario de aplicación web protegida con IAP y que se autenticaron correctamente pueden acceder a la app. Los usuarios a los que no se les otorga el rol requerido o que no se autentican no pueden acceder a la app.

Habilita IAP para App Engine Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Habilita IAP

Console

Setting up IAP access

Turning on IAP

gcloud

API

Prueba la autenticación de usuarios de prueba

Habilita IAP para App Engine