Ativar o IAP para o Compute Engine

gcloud

1. Execute o comando a seguir para preparar um arquivo policy.yaml. A política permite que clientes com um intervalo de endereços IP de 10.0.0.0/24 ativem o IAP em uma regra de encaminhamento.

$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
httpRules:
  - from:
      sources:
      - ipBlocks:
        - prefix: "10.0.0.0"
          length: 24
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF

1. Execute o comando a seguir para ativar o IAP em uma regra de encaminhamento.

gcloud network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Substitua:

• PROJECT_ID: o ID do projeto do Google Cloud .
• LOCATION: a região em que o recurso está localizado.
• FORWARDING_RULE_ID: o ID do recurso de regra de encaminhamento.
• AUTHZ_POLICY_NAME: o nome da política de autorização.

API

1. Execute o comando a seguir para preparar um arquivo policy.json.

   cat << EOF > policy.json
   {
   "name": "AUTHZ_POLICY_NAME",
   "target": {
     "loadBalancingScheme": "INTERNAL_MANAGED",
     "resources": [
       "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
     ],
   },
   "action": "CUSTOM",
   "httpRules": [
     {
       "from": {
         "sources": {
           "ipBlocks": [
             {
               "prefix": "10.0.0.0",
               "length": 24
             }
           ]
         }
       }
     }
   ],
   "customProvider": {
     "cloudIap": {}
   }
   }
   EOF
   

2. Execute o comando a seguir para ativar o IAP em uma regra de encaminhamento.

   curl -X PATCH \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d @policy.json \
   "https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
   

   Substitua:

   • PROJECT_ID: o ID do projeto do Google Cloud .
   • LOCATION: a região em que o recurso está localizado.
   • FORWARDING_RULE_ID: o ID do recurso de regra de encaminhamento.
   • AUTHZ_POLICY_NAME: o nome da política de autorização.

Console

O cliente OAuth gerenciado pelo Google não está disponível ao ativar o IAP usando o console Google Cloud .

Se você ainda não configurou a tela de consentimento do OAuth do seu projeto, precisará fazer isso. Para configurar a tela de consentimento do OAuth, consulte Como configurar a tela de consentimento do OAuth.

Se você estiver executando clusters do GKE versão 1.24 ou mais recente, configure o IAP e o GKE usando a API Gateway do Kubernetes. Para isso, conclua as etapas a seguir e siga as instruções em Configurar o IAP. Não configure BackendConfig.

Como configurar o acesso do IAP

1. Acesse a página Identity-Aware Proxy.
   Acessar a página "Identity-Aware Proxy"
2. Selecione o projeto que você quer proteger com o IAP.

3. Marque a caixa de seleção ao lado do recurso a que você quer conceder acesso.

   Se você não encontrar um recurso, verifique se ele foi criado e se o controlador de entrada do Compute Engine BackendConfig está sincronizado.

   Para verificar se o serviço de back-end está disponível, execute o seguinte comando gcloud:

   gcloud compute backend-services list
4. No painel lateral à direita, clique em Adicionar principal.
5. Na caixa de diálogo Adicionar principais que é exibida, insira os endereços de e-mail de grupos ou indivíduos que terão o papel Usuário do app da Web protegido pelo IAP no projeto.

   Os seguintes tipos de principais podem ter essa função:

   • Conta do Google: user@gmail.com
   • grupo do Google: admins@googlegroups.com
   • Conta de serviço: server@example.gserviceaccount.com
   • Domínio do Google Workspace: example.com

   Inclua uma Conta do Google a que você tenha acesso.

6. Selecione Cloud IAP > Usuário do app da Web protegido pelo IAP na lista suspensa Papéis.
7. Clique em Salvar.

Como ativar o IAP

1. Na página Identity-Aware Proxy, em APLICATIVOS, encontre o balanceador de carga que atende ao instance group a que você quer restringir o acesso. Para ativar o IAP para um recurso, alterne a chave para ativado ou desativado na coluna IAP.
   Para ativar o IAP:
   • É necessário que pelo menos um protocolo na configuração de front-end do balanceador de carga seja HTTPS. Saiba mais sobre como configurar um balanceador de carga.
   • Você precisa ter as permissões compute.backendServices.update, clientauthconfig.clients.create, clientauthconfig.clients.update e clientauthconfig.clients.getWithSecret. Elas são concedidas por alguns papéis, como o de editor do projeto. Para saber mais, consulte Como gerenciar o acesso a recursos protegidos pelo IAP.
2. Na janela Ativar IAP que é exibida, clique em Ativar para confirmar que você quer proteger seu recurso com o IAP. Depois disso, será necessário usar credenciais de login para todas as conexões com o balanceador de carga. O acesso será concedido apenas às contas com o papel usuário do app da Web protegido pelo IAP no projeto.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

1. To authenticate, use the Google Cloud CLI and run the following command.

   gcloud auth login

2. To sign in, follow the URL that appears.
3. After you sign in, copy the verification code that appears and paste it in the command line.
4. Run the following command to specify the project that contains the resource that you want to protect with IAP.

   gcloud config set project PROJECT_ID

5. To enable IAP, run either the globally or regionally scoped command.
   
   Global scope

   gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled

   Regional scope

   gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

1. Execute o comando a seguir para preparar um arquivo settings.json.

   cat << EOF > settings.json
   {
   "iap":
     {
       "enabled":true
     }
   }
   EOF
   

2. Execute o comando abaixo para ativar o IAP.

   curl -X PATCH \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d @settings.json \
   "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"
   

Depois de ativar o IAP, será possível usar a CLI do Google Cloud para modificar a política de acesso do IAP usando o papel do IAM roles/iap.httpsResourceAccessor. Saiba mais sobre como gerenciar papéis e permissões.