Utiliser des comptes de service pour créer des règles

Un compte de service est un compte Google spécial non humain que les applications, les processus automatisés ou les charges de travail de calcul, telles qu'une instance Compute Engine, utilisent pour effectuer des appels d'API autorisés. Contrairement aux comptes utilisateur, un compte de service est identifié uniquement par son adresse e-mail unique.

Les applications utilisent des comptes de service pour s'authentifier et accéder aux Google Cloud ressources. Lorsqu'une application s'authentifie à l'aide d'un compte de service, elle accède aux ressources pour lesquelles des autorisations Identity and Access Management explicites ont été attribuées au compte de service. Cette méthode d'autorisation de machine à machine est sécurisée, auditable et centralisée.

Pour Secure Web Proxy, les comptes de service jouent un rôle essentiel dans l'autorisation et l'application des règles. En utilisant un compte de service pour identifier la source de trafic d'une charge de travail, vous pouvez créer des règles Secure Web Proxy précises qui autorisent ou refusent spécifiquement le trafic Web en fonction de l'identité de l'application, et pas seulement de son adresse IP.

Cette page vous explique comment :

Avant de commencer

  • Suivez la procédure de configuration initiale.

  • Demandez à un administrateur de l'organisation de vous accorder l'accès à un compte de service.

  • Vérifiez que la version 406.0.0 (ou ultérieure) de la Google Cloud CLI est installée :

    gcloud version | head -n1
    

    Si vous avez installé une version antérieure de la gcloud CLI, mettez-la à jour :

    gcloud components update --version=406.0.0
    

Créer une instance Secure Web Proxy avec une règle vide

Pour créer une instance Secure Web Proxy, vous devez d'abord créer une règle de sécurité vide, puis créer un proxy Web qui utilise cette règle.

Créer une règle de sécurité vide

Console

  1. Dans la Google Cloud console, accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur Créer une règle.

  3. Dans le champ Nom, saisissez un nom pour la règle, par exemple myswppolicy.

  4. Dans le champ Description, saisissez une description pour la règle, par exemple My new swp policy.

  5. Pour Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle, par exemple us-central1.

  6. Cliquez sur Créer.

Cloud Shell

  1. Utilisez un éditeur de texte pour créer un fichier policy.yaml.

  2. Ajoutez le code suivant au fichier policy.yaml :

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    description: POLICY_DESCRIPTION
    

    Remplacez les éléments suivants :

    • PROJECT_NAME : nom de votre projet

    • REGION : région dans laquelle votre règle est créée, par exemple us-central1

    • POLICY_NAME : nom de votre règle

    • POLICY_DESCRIPTION : description de votre règle

  3. Importez la règle de sécurité à l'aide de la gcloud network-security gateway-security-policies import commande :

    gcloud network-security gateway-security-policies import POLICY_NAME \
        --source=POLICY_FILE.yaml \
        --location=REGION
    

Créer un proxy Web

Console

  1. Dans la Google Cloud console, accédez à la page Proxys Web.

    Accéder aux proxys Web

  2. Cliquez sur Créer un proxy Web sécurisé.

  3. Dans le champ Nom, saisissez un nom pour le proxy Web, par exemple myswp.

  4. Dans le champ Description, saisissez une description pour le proxy Web, par exemple My new swp.

  5. Pour Mode de routage, sélectionnez l'une des options suivantes :

    • Explicite : déploie votre instance Secure Web Proxy en mode proxy explicite.
    • Prochain saut : déploie votre instance Secure Web Proxy en mode prochain saut.
  6. Pour Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web, par exemple us-central1.

  7. Pour Réseau, sélectionnez le réseau dans lequel vous souhaitez créer le proxy Web.

  8. Pour Sous-réseau, sélectionnez le sous-réseau VPC que vous avez créé lors de la configuration initiale.

  9. Facultatif : dans le champ Adresse IP du proxy Web, saisissez l'adresse IP Secure Web Proxy.

    Vous pouvez saisir une adresse IP de la plage d'adresses IP Secure Web Proxy qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas l'adresse IP, votre instance Secure Web Proxy en choisit automatiquement une dans le sous-réseau sélectionné.

  10. Pour Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  11. Pour Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  12. Cliquez sur Créer.

Cloud Shell

  1. Utilisez un éditeur de texte pour créer un fichier gateway.yaml.

  2. Ajoutez le code suivant au fichier gateway.yaml :

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
    type: SECURE_WEB_GATEWAY
    ports: [GATEWAY_PORT_NUMBERS]
    certificateUrls: [CERTIFICATE_URLS]
    gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
    subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
    routingMode: ROUTING_MODE
    addresses: [GATEWAY_IP_ADDRESS]
    scope: samplescope
    

    Facultatif : Pour autoriser les applications clientes d'autres Google Cloud régions à se connecter à votre proxy, activez l'accès mondial lorsque vous créez votre instance Secure Web Proxy.

    Dans le fichier gateway.yaml, ajoutez le champ allow_global_access et définissez-le sur true.

    Important : Vous ne pouvez activer allow_global_access que lorsque vous créez une instance Secure Web Proxy. Vous ne pourrez pas configurer ce paramètre ultérieurement.

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
    type: SECURE_WEB_GATEWAY
    ports: [GATEWAY_PORT_NUMBERS]
    certificateUrls: [CERTIFICATE_URLS]
    gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
    subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
    addresses: [GATEWAY_IP_ADDRESS]
    scope: samplescope
    allow_global_access: true
    

    Remplacez les éléments suivants :

    • GATEWAY_NAME: nom de cette instance Secure Web Proxy

    • GATEWAY_PORT_NUMBERS: liste des numéros de port de cette passerelle, par exemple [80,443]

    • CERTIFICATE_URLS: liste des URL de certificat SSL

    • SUBNETWORK : Sous-réseau VPC que vous avez créé lors de la configuration initiale

    • ROUTING_MODE: spécifiez le mode de routage du proxy Web requis :

      • EXPLICIT_ROUTING_MODE: déploie votre instance Secure Web Proxy en mode proxy explicite
      • NEXT_HOP_ROUTING_MODE: déploie votre instance Secure Web Proxy en mode prochain saut
    • GATEWAY_IP_ADDRESS : liste facultative des adresses IP de vos instances Secure Web Proxy dans les sous-réseaux de proxy que vous avez créés précédemment lors des étapes de configuration initiale

      Si vous choisissez de ne pas répertorier d'adresses IP, omettez le champ pour laisser le proxy Web en choisir une pour vous.

  3. Créez l'instance Secure Web Proxy à l'aide de la gcloud network-services gateways import commande :

    gcloud network-services gateways import GATEWAY_NAME \
        --source=gateway.yaml \
        --location=REGION
    

Tester la connectivité

Pour tester la connectivité, utilisez la commande curl à partir de n'importe quelle instance de machine virtuelle (VM) de votre réseau cloud privé virtuel (VPC) :

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
  

Si tout fonctionne correctement, votre instance Secure Web Proxy renvoie un code d'état 403 Forbidden. Cette erreur confirme les points suivants :

  • L'instance Secure Web Proxy a été déployée et reçoit activement du trafic.

  • La règle Secure Web Proxy applique correctement la stratégie de sécurité par défaut qui consiste à refuser tout le trafic jusqu'à ce que vous définissiez des règles allow spécifiques dans les sections suivantes.

Créer un compte de service et attribuer des rôles IAM

  1. Créez un compte de service : utilisez la gcloud iam service-accounts create commande pour créer un compte de service nommé my-swp-sa dans votre Google Cloud projet.

    gcloud iam service-accounts create my-swp-sa \
        --display-name="Secure Web Proxy service account" \
        --description="Service account for Secure Web Proxy instances"
  2. Attribuez des rôles IAM au compte de service: utilisez la gcloud projects add-iam-policy-binding commande pour attribuer les rôles IAM nécessaires au compte de service afin qu'il puisse gérer ou utiliser des ressources dans votre Google Cloud projet.

    Par exemple, pour autoriser le compte de service à utiliser des ressources réseau, attribuez-lui le rôle Utilisateur de réseau de Compute (roles/compute.networkUser).

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="serviceAccount:my-swp-sa@PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/compute.networkUser"

    Remplacez PROJECT_ID par l'ID de votre Google Cloud projet.

Créer une règle Secure Web Proxy

Console

  1. Dans la Google Cloud console, accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur le nom de la règle que vous avez créée précédemment, par exemple myswppolicy.

  3. Cliquez sur Ajouter une règle.

  4. Pour chaque règle, procédez comme suit :

    1. Dans le champ Priorité, saisissez un ordre d'évaluation numérique pour la règle. Les règles sont évaluées de la priorité la plus élevée à la plus basse, où 0 est la priorité la plus élevée.

    2. Dans le champ Nom, saisissez un nom pour la règle.

    3. Dans le champ Description, saisissez une description pour la règle.

    4. Pour Action, sélectionnez l'une des options suivantes :

      • Autoriser : pour autoriser les requêtes de connexion correspondant à la règle.
      • Refuser : pour refuser les requêtes de connexion correspondant à la règle.
    5. Dans le champ État, sélectionnez l'une des options suivantes pour l'application de la règle :

      • Activé : pour appliquer la règle à votre instance Secure Web Proxy.
      • Désactivé : pour ne pas appliquer la règle à votre instance Secure Web Proxy.
    6. Dans la section Correspondance de session, spécifiez l'adresse e-mail du compte de service que vous avez créé précédemment. Exemple :

        sessionMatcher: "source.matchServiceAccount(SERVICE_ACCOUNT) && host() == 'example.com'"
        

      Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.

    7. Dans la section Correspondance d'application, spécifiez les critères de correspondance de la requête.

    8. Cliquez sur Ajouter une règle.

  5. Pour ajouter une autre règle, cliquez sur Ajouter une règle.

Cloud Shell

  1. Utilisez un éditeur de texte pour créer le fichier rule.yaml.

  2. Pour autoriser l'accès à une URL à partir du compte de service approprié, ajoutez les éléments suivants au fichier rule.yaml que vous avez créé :

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
    description: RULE_DESCRIPTION
    enabled: true
    priority: RULE_PRIORITY
    sessionMatcher: CEL_EXPRESSION
    basicProfile: ALLOW
    

    Remplacez les éléments suivants :

    • RULE_NAME : nom de cette règle
    • RULE_DESCRIPTION : description de la règle
    • RULE_PRIORITY: priorité de cette règle ; un nombre plus petit correspond à une priorité plus élevée
    • CEL_EXPRESSION: expression CEL (Common Expression Language). Pour en savoir plus, consultez la documentation de référence sur le langage de correspondance CEL .

    Par exemple, pour autoriser l'accès à example.com à partir de la ressource avec le compte de service requis, ajoutez le code suivant au fichier YAML que vous avez créé pour sessionMatcher :

    ```yaml
    sessionMatcher: "source.matchServiceAccount('SERVICE_ACCOUNT') && host() == 'example.com'"
    ```
    

    Remplacez SERVICE_ACCOUNT par le compte de service que vous souhaitez autoriser. Il doit s'agir de l'adresse e-mail du compte de service.

  3. Importez les règles que vous avez créées à l'aide de la gcloud network-security gateway-security-policies rules import commande :

    gcloud network-security gateway-security-policies rules import RULE_NAME \
        --source=RULE_FILE.yaml \
        --location=REGION \
        --gateway-security-policy=POLICY_NAME
    

Tester la connectivité

Vous pouvez tester à nouveau la connectivité pour vérifier que l'ensemble de votre configuration Secure Web Proxy (y compris le compte de service, les règles de sécurité et la passerelle) fonctionne comme prévu.

Pour tester la connectivité, utilisez la commande curl à partir de la ressource (par exemple, une instance de VM) avec le SERVICE_ACCOUNT associé :

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Remplacez IPv4_ADDRESS par l'adresse IPv4 de votre instance Secure Web Proxy.

Si tout fonctionne correctement, vous recevez un code d'état 200 OK. Ce code d'état confirme les résultats clés suivants :

  • Autorisation réussie : prouve que le trafic provenant de la ressource est correctement identifié par le compte de service attribué et que cette identité correspond à la règle allow que vous avez ajoutée à la règle de sécurité.

  • Fonctionnalité de bout en bout : valide que le trafic circule correctement via le chemin configuré (de la ressource > à l' instance Secure Web Proxy > en passant par la règle de sécurité > et en atteignant la destination externe).

Étape suivante