Habilita IAP para Compute Engine

En esta página, se explica cómo proteger una instancia de Compute Engine con Identity-Aware Proxy (IAP).

Antes de comenzar

Con el fin de habilitar IAP para Compute Engine, necesitas lo siguiente:

Si aún no configuraste tu instancia de Compute Engine, consulta Configura IAP para Compute Engine con el fin de obtener una explicación completa.

IAP usa un cliente de OAuth administrado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.

Puedes habilitar IAP en un servicio de backend de Compute Engine o en una regla de reenvío de Compute Engine. Cuando habilitas IAP en un servicio de backend de Compute Engine, solo ese servicio de backend está protegido por IAP. Cuando habilitas IAP en una regla de reenvío de Compute Engine, todas las instancias de Compute Engine que se encuentran detrás de la regla de reenvío están protegidas por IAP.

Habilita IAP en una regla de reenvío

Puedes habilitar IAP en una regla de reenvío con el framework de políticas de autorización del balanceador de cargas.

gcloud

  1. Run the following command to prepare a policy.yaml file. The policy allows clients with an IP address range of 10.0.0.0/24 to enable IAP on a forwarding rule.
$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
httpRules:
  - from:
      sources:
      - ipBlocks:
        - prefix: "10.0.0.0"
          length: 24
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF
  1. Run the following command to enable IAP on a forwarding rule.
gcloud network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Replace the following:

  • PROJECT_ID: The Google Cloud project ID.
  • LOCATION: The region that the resource is located in.
  • FORWARDING_RULE_ID: The ID of the forwarding rule resource.
  • AUTHZ_POLICY_NAME: The name of the authorization policy.

API

  1. Run the following command to prepare a policy.json file. 
    cat << EOF > policy.json
{
"name": "AUTHZ_POLICY_NAME",
"target": {
  "loadBalancingScheme": "INTERNAL_MANAGED",
  "resources": [
    "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
  ],
},
"action": "CUSTOM",
"httpRules": [
  {
    "from": {
      "sources": {
        "ipBlocks": [
          {
            "prefix": "10.0.0.0",
            "length": 24
          }
        ]
      }
    }
  }
],
"customProvider": {
  "cloudIap": {}
}
}
EOF

  2. Run the following command to enable IAP on a forwarding rule. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @policy.json \
"https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"

    Replace the following:

    • PROJECT_ID: The Google Cloud project ID.
    • LOCATION: The region that the resource is located in.
    • FORWARDING_RULE_ID: The ID of the forwarding rule resource.
    • AUTHZ_POLICY_NAME: The name of the authorization policy.

Después de habilitar IAP en una regla de reenvío, puedes aplicar permisos a los recursos.

Habilita IAP en un servicio de backend de Compute Engine

Puedes habilitar IAP en un servicio de backend de Compute Engine a través de ese servicio de backend.

Console

El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la consola de Google Cloud .

Si no has configurado la pantalla de consentimiento de OAuth de tu proyecto, se te pedirá que lo hagas. Para configurar la pantalla de consentimiento de OAuth, consulta el artículo Configurar la pantalla de consentimiento de OAuth.

Si ejecutas clústeres de GKE con la versión 1.24 o posterior, puedes configurar IAP y GKE mediante la API Gateway de Kubernetes. Para ello, sigue estos pasos y, a continuación, las instrucciones de Configurar IAP. No configures BackendConfig.

Configurar el acceso a IAP

  1. Ve a la página Identity-Aware Proxy.
    Ve a la página Identity-Aware Proxy.
  2. Selecciona el proyecto que quieras proteger con IAP.

  3. Seleccione la casilla situada junto al recurso al que quiera conceder acceso.

    Si no ves un recurso, asegúrate de que se haya creado y de que el controlador de entrada BackendConfig de Compute Engine esté sincronizado.

    Para verificar que el servicio de backend está disponible, ejecuta el siguiente comando de gcloud:

    gcloud compute backend-services list
  4. En el panel lateral de la derecha, haz clic en Añadir principal.
  5. En el cuadro de diálogo Añadir principales que aparece, introduce las direcciones de correo de los grupos o las personas que deban tener el rol Usuario de aplicaciones web protegidas mediante IAP en el proyecto.

    Los siguientes tipos de principales pueden tener este rol:

    • Cuenta de Google: usuario@gmail.com
    • Grupo de Google: admins@googlegroups.com
    • Cuenta de servicio: servidor@example.gserviceaccount.com
    • Dominio de Google Workspace: example.com

    Asegúrate de añadir una cuenta de Google a la que tengas acceso.

  6. En la lista desplegable Roles, selecciona Cloud IAP > IAP-secured Web App User (Cloud IAP > Usuario de aplicación web protegida por IAP).
  7. Haz clic en Guardar.

Activando IAP

  1. En la página Identity-Aware Proxy (Proxy con reconocimiento de identidad), en APPLICATIONS (APLICACIONES), busca el balanceador de carga que sirve el instance group al que quieres restringir el acceso. Para activar IAP en un recurso, haz lo siguiente:
    Para habilitar IAP, haz lo siguiente:
    • Al menos un protocolo de la configuración de frontend del balanceador de carga debe ser HTTPS. Consulta información sobre cómo configurar un balanceador de carga.
    • Necesitas los permisos compute.backendServices.update, clientauthconfig.clients.create, clientauthconfig.clients.update y clientauthconfig.clients.getWithSecret. Estos permisos se conceden mediante roles, como el rol Editor de proyecto. Para obtener más información, consulta Gestionar el acceso a recursos protegidos por IAP.
  2. En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que quieres que IAP proteja tu recurso. Una vez que hayas activado IAP, se requerirán credenciales de inicio de sesión para todas las conexiones a tu balanceador de carga. Solo se concederá acceso a las cuentas que tengan el rol Usuario de aplicaciones web protegidas mediante IAP en el proyecto.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

  1. To authenticate, use the Google Cloud CLI and run the following command. 
    gcloud auth login
  2. To sign in, follow the URL that appears.
  3. After you sign in, copy the verification code that appears and paste it in the command line.
  4. Run the following command to specify the project that contains the resource that you want to protect with IAP. 
    gcloud config set project PROJECT_ID
  5. To enable IAP, run either the globally or regionally scoped command.

    Global scope 
    gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
     Regional scope 
    gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

  1. Run the following command to prepare a settings.json file. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Run the following command to enable IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.