הפעלת IAP ב-Cloud Run

המסוף

אם לא הגדרתם את מסך ההסכמה ל-OAuth של הפרויקט, תוצג לכם בקשה לעשות זאת. כדי להגדיר את מסך ההסכמה ל-OAuth, אפשר לעיין במאמר הגדרת מסך ההסכמה ל-OAuth.

הגדרת גישה ל-IAP

1. עוברים אל הדף של שרת Proxy לאימות זהויות (IAP).
2. בוחרים את הפרויקט שרוצים לאבטח באמצעות IAP.
3. בקטע APPLICATIONS, מסמנים את התיבה לצד שירות הקצה העורפי של מאזן העומסים שאליו רוצים להוסיף חברים.
4. בחלונית הצדדית בצד שמאל, לוחצים על הוספת ישות.

5. בתיבת הדו-שיח Add Principal (הוספת חשבון משתמש), מזינים את החשבונות של הקבוצות או האנשים שצריכים לקבל את התפקיד IAP-secured Web App User (משתמש באפליקציית אינטרנט שמאובטחת באמצעות IAP) בפרויקט. הסוגים הבאים של חשבונות יכולים להיות חברים:

   • חשבון Google: user@gmail.com – יכול להיות שזה גם חשבון Google Workspace, כמו user@google.com או דומיין אחר של Workspace.
   • קבוצת Google: admins@googlegroups.com
   • חשבון שירות: server@example.iam.gserviceaccount.com
   • דומיין ב-Google Workspace: example.com

6. בתפריט הנפתח תפקידים, בוחרים באפשרות Cloud IAP > IAP-secured Web App User (Cloud IAP > משתמש באפליקציית אינטרנט מאובטחת באמצעות IAP).

7. לוחצים על Save.

הפעלת גישה למשתמשים מחוץ לארגון

כברירת מחדל, כשמפעילים IAP, המערכת משתמשת בלקוח OAuth בניהול Google כדי לאמת משתמשים. כתוצאה מכך, רק משתמשים בארגון יכולים לגשת לאפליקציה שמופעלת בה IAP.

כדי לאפשר גישה למשתמשים מחוץ לארגון או למשתמשים שאין להם ארגון, צריך לעדכן את ההגדרה של לקוח OAuth כדי להשתמש בלקוח OAuth מותאם אישית, כמו שמתואר במאמר הפעלת IAP לאפליקציות חיצוניות.

הפעלת IAP

1. בדף IAP, בקטע אפליקציות, מוצאים את שירות הקצה העורפי של איזון העומסים שרוצים להגביל את הגישה אליו. כדי להפעיל את IAP למשאב, לוחצים על המתג IAP. כדי להפעיל רכישות מתוך האפליקציה:
   • לפחות פרוטוקול אחד בהגדרת הקצה הקדמי של מאזן העומסים חייב להיות HTTPS. מידע נוסף על הגדרת איזון עומסים
   • נדרשות ההרשאות compute.backendServices.update, clientauthconfig.clients.create ו-clientauthconfig.clients.getWithSecret. ההרשאות האלה ניתנות על ידי תפקידים, כמו התפקיד Project Editor (עריכת פרויקט). מידע נוסף על ניהול הגישה למשאבים שמוגנים באמצעות IAP
2. בחלון Turn on IAP שמופיע, לוחצים על Turn On כדי לאשר שרוצים ש-IAP יאבטח את המשאב. אחרי שמפעילים את IAP, נדרשים פרטי כניסה לכל החיבורים למאזן העומסים. רק לחשבונות עם התפקיד משתמש באפליקציית אינטרנט מאובטחת ב-IAP בפרויקט תהיה גישה.

3. פועלים לפי ההוראות במאמר בקרת גישה באמצעות IAM כדי לתת ל-IAP הרשאה לשלוח תנועה לשירות העורפי של Cloud Run.

   • Principal: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
   • תפקיד: Cloud Run Invoker

   חשבון השירות של IAP נוצר כשמפעילים את IAP. אם חשבון השירות של IAP לא מופיע ברשימת הגורמים המורשים, אפשר ליצור אותו באמצעות הפעלת פקודת gcloud הבאה:

   gcloud beta services identity create
       --service=iap.googleapis.com
       --project=PROJECT_ID
   

gcloud

1. אם לא עשיתם זאת בעבר בפרויקט, מריצים את הפקודה הבאה כדי ליצור את סוכן השירות של IAP. אם יצרתם בעבר את סוכן השירות, הפעלת הפקודה לא תשכפל אותו.

   gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]

2. כדי להעניק למפעיל הרשאה לחשבון השירות שנוצר בשלב הקודם, מריצים את הפקודה הבאה.

   gcloud run services add-iam-policy-binding [SERVICE-NAME] \
   --member='serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com'  \
   --role='roles/run.invoker'
   

3. כדי להפעיל את IAP, מריצים את הפקודה עם ההיקף הגלובלי או האזורי, בהתאם לסוג שירות לקצה העורפי של מאזן העומסים: גלובלי או אזורי. משתמשים במזהה הלקוח ובסוד הלקוח של OAuth מהשלב הקודם.

   היקף גלובלי

   gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
   

   היקף אזורי

   gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
   

   מחליפים את מה שכתוב בשדות הבאים:
   • ‫BACKEND_SERVICE_NAME: השם של השירות לקצה העורפי.
   • ‫REGION_NAME: האזור שבו רוצים להפעיל את IAP.

אחרי שמפעילים את IAP, אפשר להשתמש ב-Google Cloud CLI כדי לשנות את מדיניות הגישה של IAP באמצעות התפקיד roles/iap.httpsResourceAccessor של ניהול הזהויות והרשאות הגישה (IAM). מידע נוסף זמין במאמר ניהול הגישה למשאבים שמוגנים באמצעות IAP.

Terraform

1. אם לא עשיתם את זה בעבר, מריצים את הפקודה הבאה כדי ליצור סוכן שירות של IAP בפרויקט. אם יצרתם בעבר את סוכן השירות, הפעלת הפקודה לא תשכפל אותו.

   resource "google_project_service" "project" {
     project = "your-project-id"
     service = "iap.googleapis.com"
   }
   

2. מוסיפים את השורה הבאה כדי לתת לסוכן השירות של IAP את התפקיד roles/run.invoker.

   resource "google_cloud_run_v2_service_iam_member" "iap_invoker" {
     project = google_cloud_run_v2_service.default.project
     location = google_cloud_run_v2_service.default.location
     name = google_cloud_run_v2_service.default.name
     role   = "roles/run.invoker"
     member = "serviceAccount:service-"PROJECT_NUMBER@gcp-sa-iap.iam.gserviceaccount.com"
   }
   

   מחליפים את PROJECT_NUMBER במספר הפרויקט.

3. מפעילים את IAP על ידי הפעלת הפקודה הגלובלית או האזורית, בהתאם למאזן העומסים. משתמשים במזהה הלקוח ובסוד הלקוח של OAuth מהשלב הקודם.

   • היקף גלובלי

     resource "google_compute_backend_service" "default" {
       name                  = "tf-test-backend-service-external"
       protocol              = "HTTPS"
       load_balancing_scheme = "EXTERNAL_MANAGED"
       iap {
         enabled              = true
         oauth2_client_id     = "abc"
         oauth2_client_secret = "xyz"
       }
     }
     

   • היקף אזורי

     resource "google_compute_region_backend_service" "default" {
       name                  = "tf-test-backend-service-external"
       protocol              = "HTTPS"
       load_balancing_scheme = "EXTERNAL_MANAGED"
       iap {
         enabled              = true
         oauth2_client_id     = "abc"
         oauth2_client_secret = "xyz"
       }
     }