Questa pagina è stata tradotta dall'API Cloud Translation.

Protezione dei servizi di backend

Oltre ad autenticare le richieste degli utenti finali al gateway di cui è stato eseguito il deployment, è importante proteggere l'accesso tra API Gateway e i tuoi servizi di backend. Puoi impedire l'accesso pubblico ai tuoi servizi gestiti di backend (Cloud Run, funzioni Cloud Run, App Engine e così via) nel seguente modo:

Consentire solo l'accesso autenticato al servizio di backend.
Concedi le autorizzazioni necessarie all'account di servizio associato alla configurazione dell'API del gateway in modo che il gateway sia autorizzato a invocare il backend.

Questa pagina descrive i passaggi necessari per proteggere il servizio di backend e i ruoli e le autorizzazioni richiesti dall'account di servizio del gateway per accedere a questi servizi.

Cloud Run

Per impostazione predefinita, tutti i servizi completamente gestiti di Cloud Run vengono dipartiti in privato, il che significa che non è possibile accedervi senza fornire le credenziali di autenticazione nella richiesta.

I servizi Cloud Run sono protetti da IAM. Per impostazione predefinita, i servizi Cloud Run possono essere chiamati da qualsiasi ruolo contenente l'autorizzazione run.routes.invoke.

Puoi configurare IAM nei servizi Cloud Run (completamente gestiti) per concedere l'accesso ad altri utenti.

Per API Gateway, l'accesso ai servizi Cloud Run è abilitato concedendo all'account di servizio del gateway i ruoli e le autorizzazioni appropriati: il ruolo roles/run.invoker o un ruolo contenente l'autorizzazione run.routes.invoke.

Puoi controllare l'accesso di un gateway a un singolo servizio con IAM a livello di servizio o a tutti i servizi all'interno di un progetto con IAM a livello di progetto.

Se la richiesta di un gateway al tuo servizio Cloud Run viene rifiutata, assicurati che all'account di servizio del gateway sia stato concesso il ruolo roles/run.invoker e che l'account di servizio del gateway disponga dell'autorizzazione run.routes.invoke. Scopri di più sui ruoli e sulle autorizzazioni dell'invoker nel documento di riferimento IAM di Cloud Run.

Cloud Functions

Per i servizi di backend delle funzioni Cloud Run, Identity and Access Management (IAM) viene utilizzato per controllare la possibilità di visualizzare, creare, aggiornare ed eliminare le funzioni. IAM applica l'autenticazione degli utenti che chiamano i servizi delle funzioni Cloud Run, come API Gateway, concedendo ruoli.

La concessione di ruoli e autorizzazioni con IAM consente di controllare due insiemi di azioni:

Operazioni per gli sviluppatori: creazione, aggiornamento ed eliminazione di funzioni, nonché gestione dell'accesso alle funzioni.
Richiesta di funzione: causa l'esecuzione di una funzione.

La concessione della possibilità di richiamare una funzione è diversa per le funzioni HTTP e le funzioni in background.

Le funzioni HTTP richiedono l'autenticazione per impostazione predefinita. Puoi configurare IAM nelle funzioni HTTP per specificare se una funzione consente l'invocazione non autenticata.
Le funzioni in background possono essere richiamate solo dall'origine evento a cui sono sottoscritte.

Per consentire ad API Gateway di chiamare il servizio di backend Cloud Functions, concedi all'account di servizio del gateway il ruolo roles/cloudfunctions.invoker o qualsiasi ruolo contenente l'autorizzazione cloudfunctions.functions.invoke.

Puoi controllare l'accesso di un gateway a una singola funzione con IAM a livello di servizio o a tutte le funzioni di un progetto con IAM a livello di progetto.

Se le richieste di un gateway al servizio di funzioni Cloud Run vengono rifiutate, assicurati che al account di servizio del gateway sia stato concesso il ruolo roles/cloudfunctions.invoker e che l'account di servizio del gateway disponga dell'autorizzazione cloudfunctions.functions.invoke. Scopri di più sui ruoli e sulle autorizzazioni dell'invoker nella documentazione di riferimento IAM di Cloud Functions.

App Engine

Per proteggere la tua app App Engine, devi utilizzare Identity-Aware Proxy (IAP) per assicurarti che le richieste vengano autenticate.

Segui i passaggi per abilitare gli acquisti in-app per il progetto in cui è dipiegato il servizio di backend App Engine. L'attivazione di IAP garantisce la protezione dell'accesso all'applicazione di backend App Engine.

Per consentire ad API Gateway di chiamare il servizio di backend App Engine, segui i passaggi descritti in Configurazione dell'accesso IAP per concedere all'account di servizio associato al tuo gateway il ruolo IAP-secured Web App User. Inoltre, concedi all'account di servizio un ruolo contenente le seguenti autorizzazioni:

appengine.applications.update
clientauthconfig.clients.create
clientauthconfig.clients.getWithSecret