為 App Engine 啟用 IAP

本頁說明如何使用 Identity-Aware Proxy (IAP) 保護 App Engine 執行個體。

事前準備

如要為 App Engine 啟用 IAP,請先準備好下列項目:

  • 啟用計費功能的 Google Cloud 主控台專案。

如果您尚未設定 App Engine 執行個體,請參閱部署 App Engine 一文,取得完整逐步操作說明。

IAP 會使用 Google 代管的 OAuth 用戶端來驗證使用者。只有貴機構的使用者可以存取啟用 IAP 的應用程式。 如要允許機構外部使用者存取,請參閱「為外部應用程式啟用 IAP」。

啟用 IAP

控制台

使用 Google Cloud 控制台啟用 IAP 時,無法使用 Google 代管的 OAuth 用戶端。

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

  1. Go to the Identity-Aware Proxy page.
    Go to the Identity-Aware Proxy page
  2. Select the project you want to secure with IAP.
  3. Select the checkbox next to the resource you want to grant access to.
  4. On the right side panel, click Add principal.
  5. In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.

    The following kinds of principals can have this role:

    • Google Account: user@gmail.com
    • Google Group: admins@googlegroups.com
    • Service account: server@example.gserviceaccount.com
    • Google Workspace domain: example.com

    Make sure to add a Google Account that you have access to.

  6. Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
  7. Click Save.

Turning on IAP

  1. On the Identity-Aware Proxy page, under Applications, find the application you want to restrict access to. To turn on IAP for a resource,
  2. In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only principals with the IAP-Secured Web App User (roles/iap.httpsResourceAccessor) role on the project will be given access.

gcloud

您需要最新版的 gcloud CLI,才能設定專案與 IAP。如需 gcloud CLI 的安裝操作說明,請參閱「安裝 gcloud CLI」。

  1. 如要進行驗證,請使用 Google Cloud CLI 執行下列指令。 
    gcloud auth login
  2. 按一下顯示的網址並登入。
  3. 登入之後,複製顯示的驗證碼並貼到指令列中。
  4. 執行下列指令,指定要透過 IAP 保護的應用程式所屬專案。 
    gcloud config set project PROJECT_ID
  5. 如要啟用 IAP,請執行下列指令。 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. 將應擁有專案「受 IAP 保護的網頁應用程式使用者」角色的主體新增至專案。 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • PROJECT_ID 替換為專案 ID。
    • PRINCIPAL_IDENTIFIER 替換為必要主體。可以是網域、群組、服務帳戶或使用者類型。例如: user:myemail@example.com

啟用 IAP 之後,您可以使用 gcloud CLI,以 IAM 角色 roles/iap.httpsResourceAccessor 修改 IAP 存取權政策。進一步瞭解如何管理角色與權限

API

  1. 執行下列指令,準備 settings.json 檔案。 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. 執行下列指令來啟用 IAP。 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

啟用 IAP 後,您可以使用 Google Cloud CLI,透過 IAM 角色 roles/iap.httpsResourceAccessor 修改 IAP 存取權政策。進一步瞭解如何管理角色與權限

測試使用者驗證

  1. 授予角色後,主體就能透過 IAP 驗證存取應用程式。使用已獲授權的 Google 帳戶存取應用程式網址,該帳戶必須具備「受 IAP 保護的網頁應用程式使用者」角色 (roles/iap.httpsResourceAccessor)。

  2. 使用 Chrome 的無痕式視窗存取應用程式,並在系統提示時登入。獲派「受 IAP 保護的網路應用程式使用者」角色的使用者,只要通過驗證即可存取應用程式。如果使用者未獲派必要角色或驗證失敗,就無法存取應用程式。