Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Untuk meningkatkan keamanan secara keseluruhan, IAP secara default menolak akses ke
permintaan yang tidak memiliki Server Name Indication (SNI) yang cocok.
IAP juga memeriksa SNI sertifikat load balancer. Hal ini memungkinkan
IAP membatasi pengalihan URL ke domain berbahaya. Fitur
domain yang diizinkan IAP memberikan lapisan keamanan
tambahan untuk resource yang dilindungi IAP. Sebagai pemilik resource atau administrator IAP, Anda dapat membatasi akses ke resource yang dilindungi IAP ke domain tertentu dengan mengonfigurasi fitur domain yang diizinkan.
Anda juga dapat mengonfigurasi domain yang diizinkan IAP dalam skenario berikut:
Browser atau proxy perantara Anda memaksa penggabungan koneksi: Dalam skenario ini, Anda menerima respons HTTP 429 dan kode error 51. Untuk mengatasi masalah ini, admin IAP dapat memperbarui daftar domain yang diizinkan untuk menyertakan nama host Anda.
Nama host yang diberikan tidak cocok dengan sertifikat SSL di server: Dalam skenario ini, Anda akan menerima kode error 52. Untuk mengatasi masalah ini, admin IAP dapat memperbarui daftar domain yang diizinkan untuk menyertakan nama host Anda.
Mengonfigurasi domain yang diizinkan
Anda dapat menggunakan gcloud atau API untuk mengonfigurasi setelan domain yang diizinkan. Untuk mengonfigurasi domain yang diizinkan, gunakan kolom berikut:
enable: Boolean. Mengaktifkan atau menonaktifkan fitur domain yang diizinkan.
Domains: String. Daftar domain yang diizinkan. Domain dapat berisi awalan karakter pengganti, seperti *.example.com. Nama domain tidak boleh berisi karakter pengganti langsung di akhiran publik atau di domain level teratas. Contoh: *.com, *.co.in.
Untuk mengetahui informasi selengkapnya, lihat IapSettings.
Untuk mengonfigurasi domain yang diizinkan IAP, selesaikan langkah-langkah berikut:
RESOURCE_TYPE: Jenis resource IAP. Harus berupa app-engine, iap_web, compute, organization, atau folder.
SERVICE: Nama layanan. Ini bersifat opsional jika resource-type adalah compute atau app-engine.
VERSION: Nama versi. Ini tidak berlaku untuk compute, dan bersifat opsional jika resource-type adalah app-engine.
API
Untuk mengonfigurasi domain yang diizinkan, selesaikan langkah-langkah berikut. Untuk informasi selengkapnya tentang cara menggunakan API untuk mengonfigurasi domain yang diizinkan, lihat IapSettings.
Jalankan perintah berikut untuk menyiapkan file iap_settings.json. Perbarui nilai sesuai kebutuhan.
Dapatkan nama resource dengan menjalankan perintah gcloud iap settings get. Salin kolom nama dari output. Anda akan memerlukan nama tersebut di langkah berikut.
gcloud iap settings get --organization=ORGANIZATION --folder=FOLDER --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
Ganti RESOURCE_NAME dalam perintah berikut dengan nama dari langkah sebelumnya. IapSettings akan diupdate.
Masalah akses domain yang diizinkan
Jika Anda menerima Kode error 53, minta administrator IAP untuk menambahkan nama host Anda ke daftar domain yang diizinkan.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-08-18 UTC."],[],[],null,["# Restrict resource access to specific domains\n\nTo improve overall security, IAP by default denies access to\nrequests that do not have a matching Server Name Indication (SNI).\nIAP also checks the SNI of the load balancer certificate. This allows\nIAP to restrict URL redirect to malicious domains. The\nIAP allowed domains feature provides an additional security\nlayer for your IAP-protected resources. As a resource owner\nor IAP administrator, you can restrict access to\nIAP-protected resources to specific domains by configuring\nthe allowed domains feature.\n\nYou can also configure IAP allowed domains in the following scenarios:\n\n- **Your browser or an intermediate proxy is forcing connection pooling:** In this scenario, you receive HTTP response 429 and error code [`51`](/iap/docs/faq?#error_codes). To resolve the issue, an IAP admin can update the list of allowed domains to include your host name.\n- **The host name provided does not match the SSL certificate on the server:** In this scenario, you receive error code [`52`](/iap/docs/faq?#error_codes). To resolve the issue, an IAP admin can update the list of allowed domains to include your host name.\n\nConfigure allowed domains\n-------------------------\n\nYou can use gcloud or the API to configure allowed domains settings. To configure allowed domains, use the following fields:\n\n- **`enable`**: Boolean. Turns the allowed domains feature on or off.\n- **`Domains`** : String. The list of allowed domains. The domains can contain wildcard prefixes, such as `*.example.com.` Domain names cannot contain a wildcard directly on a public suffix or on a top level domain. Example: `*.com`, `*.co.in`.\n\nFor more information, see [IapSettings](/iap/docs/reference/rest/v1/IapSettings#accesssettings).\n\nTo configure IAP allowed domains, complete the following steps: \n\n### Console\n\n1. Go to the IAP page. \n [Go to Identity-Aware Proxy](https://console.cloud.google.com/security/iap/).\n2. Select a project, and then select the resource on which you want to enable the allowed domains feature.\n3. Open **Settings** for the resource. Under **Allowed domains** , select **Enable Allowed Domains**.\n4. Specify the list of allowed domains, and then click **Save**.\n\n### gcloud\n\nFollowing are some example commands for specifying allowed domains.\n\nFor more information, see [`gcloud iap settings set`](/sdk/gcloud/reference/iap/settings/set).\n\nRun the following command: \n\n```\ngcloud iap settings set SETTING_FILE --folder=FOLDER --organization=ORGANIZATION --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION\n```\n\nWhere `SETTING_FILE` is: \n\n accessSettings:\n allowed_domains_settings:\n enable: true\n domains: [\"*.example.com\", \"*.example.net\"]\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eFOLDER\u003c/var\u003e: The folder ID.\n- \u003cvar translate=\"no\"\u003eORGANIZATION\u003c/var\u003e: The organization ID.\n- \u003cvar translate=\"no\"\u003ePROJECT\u003c/var\u003e: The project ID.\n- \u003cvar translate=\"no\"\u003eRESOURCE_TYPE\u003c/var\u003e: The IAP resource type. Must be `app-engine`, `iap_web`, `compute`, `organization`, or `folder`.\n- \u003cvar translate=\"no\"\u003eSERVICE\u003c/var\u003e: The service name. This is optional when `resource-type` is `compute` or `app-engine`.\n- \u003cvar translate=\"no\"\u003eVERSION\u003c/var\u003e: The version name. This is not applicable for `compute`, and is optional when `resource-type` is `app-engine`.\n\n### API\n\nTo configure allowed domains, complete the following steps. For more information about using the API to configure allowed domains, see [IapSettings](/iap/docs/reference/rest/v1/IapSettings#accesssettings).\n\n1. Run the following command to prepare an `iap_settings.json` file. Update the values as needed.\n\n```\n {\n \"access_settings\":{\n \"allowed_domains_settings\":{\n \"enable\": true\n \"domains\": [\n \"*.example.com\",\n \"*.exampe.net\"\n ]\n }\n }\n }\n```\n\n1. Get the resource name by running the `gcloud iap settings get` command. Copy the name field from the output. You will need the name in the following step.\n\n```\ngcloud iap settings get --organization=ORGANIZATION --folder=FOLDER --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION\n```\n\n1. Replace `RESOURCE_NAME` in the following command with the name from the previous step. The `IapSettings` will be updated.\n\n```\ncurl -X PATCH \\\n-H \"Authorization: Bearer $(gcloud auth print-access-token)\" \\\n-H \"Accept: application/json\" \\\n-H \"Content-Type: application/json\" \\\n-d @iap_settings.json \\\n\"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains\"\n```\n\nTroubleshooting\n---------------\n\n**Allowed domains access issue** \n\nIf you receive [Error code 53](/iap/docs/faq?#error_codes), ask an IAP administrator to add your host name to the list of allowed domains."]]
