Ativar o IAP para o Cloud Run

Consola

O cliente OAuth gerido pela Google não está disponível se ativar o IAP através da Google Cloud consola.

Se não tiver configurado o ecrã de consentimento OAuth do seu projeto, é-lhe pedido que o faça. Para configurar o ecrã de consentimento OAuth, consulte o artigo Configurar o ecrã de consentimento OAuth.

Configurar o acesso à IAP

1. Aceda à página Identity-Aware Proxy.
2. Selecione o projeto que quer proteger com o IAP.
3. Em APLICAÇÕES, selecione a caixa de verificação junto ao serviço de back-end do equilibrador de carga ao qual quer adicionar membros.
4. No painel do lado direito, clique em Adicionar diretor.

5. Na caixa de diálogo Adicionar principal, introduza as contas de grupos ou indivíduos que devem ter a função Utilizador da app Web protegida por IAP para o projeto. Os seguintes tipos de contas podem ser membros:

   • Conta Google: user@gmail.com. Também pode ser uma conta do Google Workspace, como user@google.com ou algum outro domínio do Workspace.
   • Grupo Google: admins@googlegroups.com
   • Conta de serviço: server@example.iam.gserviceaccount.com
   • Domínio do Google Workspace: example.com

6. Selecione Cloud IAP > Utilizador da app Web protegida pelo IAP na lista pendente Funções.

7. Clique em Guardar.

Ativar o IAP

1. Na página de IAP, em APLICAÇÕES, encontre o serviço de back-end do balanceador de carga ao qual quer restringir o acesso. Para ativar as CAsI para um recurso, clique no botão CAI. Para ativar as CNA:
   • Pelo menos um protocolo na configuração de front-end do balanceador de carga tem de ser HTTPS. Saiba como configurar um equilibrador de carga.
   • Precisa das autorizações compute.backendServices.update, clientauthconfig.clients.create e clientauthconfig.clients.getWithSecret. Estas autorizações são concedidas por funções, como a função de editor do projeto. Para saber mais, consulte o artigo Gerir o acesso a recursos protegidos pelo IAP.
2. Na janela Ativar IAP apresentada, clique em Ativar para confirmar que quer que o IAP proteja o seu recurso. Depois de ativar o IAP, este requer credenciais de início de sessão para todas as ligações ao seu equilibrador de carga. Apenas as contas com a função utilizador da app Web protegida pelo IAP no projeto recebem acesso.

3. Siga as instruções em Controlo de acesso com a IAM para autorizar o IAP a enviar tráfego para o serviço de back-end do Cloud Run.

   • Principal: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
   • Função: Cloud Run Invoker

   A conta de serviço do IAP é criada quando o IAP é ativado. Se a conta de serviço do IAP não estiver na lista de principais, pode criá-la executando o seguinte comando gcloud:

   gcloud beta services identity create
       --service=iap.googleapis.com
       --project=PROJECT_ID
   

gcloud

1. Se ainda não o fez no projeto, crie o agente do serviço IAP executando o seguinte comando. Se tiver criado anteriormente o agente de serviço, a execução do comando não o duplica.

   gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]

2. Execute o seguinte comando para conceder autorização ao invocador na conta de serviço criada no passo anterior.

   gcloud run services add-iam-policy-binding [SERVICE-NAME] \
   --member='serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com'  \
   --role='roles/run.invoker'
   

3. Ative a IAP executando o comando com âmbito global ou regional, consoante o serviço de back-end do balanceador de carga seja global ou regional. Use o ID de cliente OAuth e o segredo do passo anterior.

   Âmbito global

   gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
   

   Âmbito regional

   gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
   

   Substitua o seguinte:
   • BACKEND_SERVICE_NAME: o nome do serviço de back-end.
   • REGION_NAME: a região na qual quer ativar as CNAs.

Depois de ativar o IAP, pode usar a CLI do Google Cloud para manipular uma política de acesso do IAP através da função de gestão de identidade e de acesso roles/iap.httpsResourceAccessor. Consulte o artigo Faça a gestão do acesso a recursos protegidos pelo IAP para mais informações.

Terraform

1. Se ainda não o fez, num projeto, crie o agente de serviço do IAP executando o seguinte comando. Se tiver criado anteriormente o agente de serviço, a execução do comando não o duplica.

   resource "google_project_service" "project" {
     project = "your-project-id"
     service = "iap.googleapis.com"
   }
   

2. Conceda autorização ao invocador para o agente de serviço criado no passo anterior executando o seguinte comando.

   resource "google_cloud_run_service_iam_binding" "binding" {
     location = google_cloud_run_v2_service.default.location
     service  = google_cloud_run_v2_service.default.name
     role = "roles/run.invoker"
     members = [
       "serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com",
     ]
   }
   

3. Ative o IAP executando o comando global ou regional, consoante o seu equilibrador de carga. Use o ID de cliente OAuth e o segredo do passo anterior.

   • Âmbito global

     resource "google_compute_backend_service" "default" {
       name                  = "tf-test-backend-service-external"
       protocol              = "HTTPS"
       load_balancing_scheme = "EXTERNAL_MANAGED"
       iap {
         enabled              = true
         oauth2_client_id     = "abc"
         oauth2_client_secret = "xyz"
       }
     }
     

   • Âmbito regional

     resource "google_compute_region_backend_service" "default" {
       name                  = "tf-test-backend-service-external"
       protocol              = "HTTPS"
       load_balancing_scheme = "EXTERNAL_MANAGED"
       iap {
         enabled              = true
         oauth2_client_id     = "abc"
         oauth2_client_secret = "xyz"
       }
     }