Habilitar IAP para Compute Engine

En esta página se explica cómo proteger una instancia de Compute Engine con Identity-Aware Proxy (IAP).

Antes de empezar

Para habilitar IAP para Compute Engine, necesitas lo siguiente:

Si aún no has configurado tu instancia de Compute Engine, consulta Configurar IAP para Compute Engine para ver una guía completa.

IAP usa un cliente de OAuth gestionado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación con IAP. Si quieres permitir el acceso a usuarios ajenos a tu organización, consulta Habilitar las compras en aplicaciones para aplicaciones externas.

Puedes habilitar IAP en un servicio de backend de Compute Engine o en una regla de reenvío de Compute Engine. Cuando habilitas IAP en un servicio de backend de Compute Engine, solo ese servicio de backend está protegido por IAP. Cuando habilitas IAP en una regla de reenvío de Compute Engine, todas las instancias de Compute Engine que hay detrás de la regla de reenvío están protegidas por IAP.

Habilitar IAP en una regla de reenvío

Puedes habilitar IAP en una regla de reenvío mediante el framework de políticas de autorización del balanceador de carga.

gcloud

  1. Ejecuta el siguiente comando para preparar un archivo policy.yaml. La política permite que los clientes con un rango de direcciones IP de 10.0.0.0/24 habiliten el IAP en una regla de reenvío.
$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
httpRules:
  - from:
      sources:
      - ipBlocks:
        - prefix: "10.0.0.0"
          length: 24
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF
  1. Ejecuta el siguiente comando para habilitar el IAP en una regla de reenvío.
gcloud network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud .
  • LOCATION: Es la región en la que se encuentra el recurso.
  • FORWARDING_RULE_ID: Es el ID del recurso de la regla de reenvío.
  • AUTHZ_POLICY_NAME: Es el nombre de la política de autorización.

API

  1. Ejecuta el siguiente comando para preparar un archivo policy.json. 
    cat << EOF > policy.json
{
"name": "AUTHZ_POLICY_NAME",
"target": {
  "loadBalancingScheme": "INTERNAL_MANAGED",
  "resources": [
    "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
  ],
},
"action": "CUSTOM",
"httpRules": [
  {
    "from": {
      "sources": {
        "ipBlocks": [
          {
            "prefix": "10.0.0.0",
            "length": 24
          }
        ]
      }
    }
  }
],
"customProvider": {
  "cloudIap": {}
}
}
EOF

  2. Ejecuta el siguiente comando para habilitar el IAP en una regla de reenvío. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @policy.json \
"https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el ID del proyecto de Google Cloud .
    • LOCATION: Es la región en la que se encuentra el recurso.
    • FORWARDING_RULE_ID: Es el ID del recurso de la regla de reenvío.
    • AUTHZ_POLICY_NAME: Es el nombre de la política de autorización.

Después de habilitar IAP en una regla de reenvío, puedes aplicar permisos a los recursos.

Habilitar IAP en un servicio de backend de Compute Engine

Puedes habilitar IAP en un servicio de backend de Compute Engine a través de ese servicio de backend.

consola

El cliente de OAuth gestionado por Google no está disponible al habilitar IAP mediante la Google Cloud consola.

Si aún no has configurado la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo. Para configurar la pantalla de consentimiento de OAuth, consulta Configura tu pantalla de consentimiento de OAuth.

Si ejecutas clústeres de GKE de la versión 1.24 o posterior, puedes configurar IAP y GKE con la API de Kubernetes Gateway. Para ello, completa los siguientes pasos y, luego, sigue las instrucciones en Configura IAP. No configures BackendConfig.

Configura el acceso de IAP

  1. Ve a la página Identity-Aware Proxy.
    Ir a la página Identity-Aware Proxy
  2. Selecciona el proyecto que deseas proteger con IAP.

  3. Selecciona la casilla de verificación junto al recurso al que deseas otorgar acceso.

    Si no ves un recurso, asegúrate de que se haya creado y de que el controlador de entrada de BackendConfig de Compute Engine esté sincronizado.

    Para verificar que el servicio de backend esté disponible, ejecuta el siguiente comando de gcloud:

    gcloud compute backend-services list
  4. En el panel de la derecha, haz clic en Agregar principal.
  5. En el cuadro de diálogo Agregar principales que aparece, ingresa las direcciones de correo electrónico de los grupos o personas a quienes se debe asignar la función Usuario de app web protegida con IAP para el proyecto.

    Los siguientes tipos de principales pueden tener este rol:

    • Cuenta de Google: usuario@gmail.com
    • Grupo de Google: administradores@googlegroups.com
    • Cuenta de servicio: servidor@ejemplo.gserviceaccount.com
    • Dominio de Google Workspace: example.com

    Asegúrate de agregar una Cuenta de Google a la que tengas acceso.

  6. En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de aplicación web protegida con IAP.
  7. Haz clic en Guardar.

Activa IAP

  1. En la página Identity-Aware Proxy, en APLICACIONES, busca el balanceador de cargas que publica el instance group al que deseas restringir el acceso. A fin de activar IAP para un recurso,
    Condición para habilitar IAP:
    • Al menos un protocolo en la configuración del frontend del balanceador de cargas debe ser HTTPS. Obtén información sobre cómo configurar un balanceador de cargas.
    • Necesitas los permisos compute.backendServices.update, clientauthconfig.clients.create, clientauthconfig.clients.update y clientauthconfig.clients.getWithSecret. Estos permisos se otorgan por funciones, como la función de Editor de proyectos. Para obtener más información, consulta cómo administrar el acceso a los recursos protegidos con IAP.
  2. En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que deseas que IAP proteja tu recurso. Después de activar IAP, se requieren credenciales de acceso para todas las conexiones a tu balanceador de cargas. Solo las cuentas con la función Usuario de la aplicación web protegida con IAP en el proyecto tendrán acceso.

gcloud

Antes de configurar tu proyecto y las compras en la aplicación, necesitas una versión actualizada de la CLI de gcloud. Para obtener instrucciones sobre cómo instalar gcloud CLI, consulta Instalar gcloud CLI.

  1. Para autenticarte, usa la CLI de Google Cloud y ejecuta el siguiente comando. 
    gcloud auth login
  2. Para iniciar sesión, sigue la URL que aparece.
  3. Después de iniciar sesión, copia el código de verificación que aparece y pégalo en la línea de comandos.
  4. Ejecuta el siguiente comando para especificar el proyecto que contiene el recurso que quieres proteger con IAP. 
    gcloud config set project PROJECT_ID
  5. Para habilitar las compras en la aplicación, ejecuta el comando con ámbito global o regional.

    Ámbito global 
    gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
     Ámbito regional 
    gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled

Una vez que hayas habilitado IAP, puedes usar la CLI de gcloud para modificar la política de acceso de IAP con el rol de IAM roles/iap.httpsResourceAccessor. Más información sobre cómo gestionar roles y permisos

API

  1. Ejecuta el siguiente comando para preparar un archivo settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Ejecuta el siguiente comando para habilitar IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

Una vez que hayas habilitado IAP, puedes usar la CLI de Google Cloud para modificar la política de acceso de IAP con el rol de gestión de identidades y accesos roles/iap.httpsResourceAccessor. Más información sobre cómo gestionar roles y permisos