Cette page explique comment utiliser des règles d'autorisation pour désigner Identity-Aware Proxy (IAP) comme moteur d'autorisation personnalisé dans une règle d'autorisation pour les équilibreurs de charge d'application.
Pour déléguer l'autorisation à l'IAP Access Point et à Identity and Access Management (IAM), vous autorisez le trafic vers une règle de transfert basée sur IAM ou les identités des utilisateurs finaux pour les équilibreurs de charge gérés. Vous pouvez ainsi appliquer un contrôle des accès basé sur l'IAP pour vos services backend.
Avant de commencer
- Comprendre les concepts des stratégies d'autorisation
- Assurez-vous que l'IAP n'est pas activé pour les services backend des règles de transfert. Si l'IAP est activé, une erreur s'affiche lorsque vous envoyez votre configuration.
- Activez l'API Network Services.
Créer la stratégie d'autorisation et activer IAP
Pour créer une règle d'autorisation, vous devez créer un fichier de règles qui définit la cible et les règles, puis activer IAP sur la règle de transfert.
gcloud
- Exécutez la commande suivante pour préparer un fichier
policy.yaml
.
$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
customProvider:
cloudIap: {}
target:
loadBalancingScheme: EXTERNAL_MANAGED
resources:
- https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF
- Exécutez la commande suivante pour activer l'API IAP sur une règle de transfert.
gcloud beta network-security authz-policies import AUTHZ_POLICY_NAME \ --source=policy.yaml \ --location=LOCATION \ --project=PROJECT_ID
Remplacez les éléments suivants :
- PROJECT_ID : ID de projet Google Cloud.
- LOCATION: région dans laquelle se trouve la ressource.
- FORWARDING_RULE_ID: ID de la ressource de règle de transfert.
- AUTHZ_POLICY_NAME: nom de la stratégie d'autorisation.
API
- Exécutez la commande suivante pour préparer un fichier
policy.json
.cat << EOF > policy.json { "name": "AUTHZ_POLICY_NAME", "target": { "loadBalancingScheme": "INTERNAL_MANAGED", "resources": [ "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID" ], }, "action": "CUSTOM", "httpRules": [], "customProvider": { "cloudIap": {} } } EOF
Exécutez la commande suivante pour activer l'API IAP sur une règle de transfert.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
Remplacez les éléments suivants :
- PROJECT_ID : ID de projet Google Cloud.
- LOCATION: région dans laquelle se trouve la ressource.
- FORWARDING_RULE_ID: ID de la ressource de règle de transfert.
- AUTHZ_POLICY_NAME: nom de la stratégie d'autorisation.
Appliquer des autorisations aux ressources
Vous pouvez utiliser l'API IAP pour appliquer des autorisations IAM à des ressources individuelles dans un projet sécurisé par IAP. Les autorisations IAM accordées à un certain niveau s'appliquent à tous les niveaux inférieurs. Par exemple, une autorisation accordée au niveau du projet s'applique à toutes les ressources Google Cloud de ce projet.
Vous trouverez ci-dessous quelques exemples de commandes permettant de configurer les autorisations. Pour en savoir plus, consultez la section sur gcloud alpha iap web set-iam-policy
.
gcloud
Dans les exemples de commandes, remplacez POLICY_FILE par le chemin d'accès à un fichier au format YAML contenant une stratégie valide. Voici un exemple de fichier YAML:
policy:
bindings:
members: user:example@example.com
role: roles/iap.httpsResourceAccessor
Modifier l'autorisation d'accès à la ressource de règle de transfert
gcloud alpha iap web set-iam-policy POLICY_FILE [--organization=ORGANIZATION \ --folder=FOLDER --project=/PROJECT_ID \ --resource-type=RESOURCE_TYPE --service=SERVICE]
Configurer l'autorisation au niveau de l'organisation
gcloud alpha iap web set-iam-policy POLICY_FILE --organization=ORGANIZATION
Configurer les autorisations au niveau du dossier
gcloud alpha iap web set-iam-policy POLICY_FILE --folder=FOLDER
Configurer l'autorisation au niveau du projet
gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=iap_web
Configurer l'autorisation pour toutes les règles de transfert globales d'un projet
gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID --resource-type=forwarding_rule
Configurer l'autorisation pour toutes les règles de transfert d'un projet dans une région
gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \ --resource-type=forwarding_rule --region=REGION
Configurer l'autorisation d'une règle de transfert globale spécifique dans un projet
gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \ --resource-type=forwarding_rule --service=SERVICE
Configurer l'autorisation d'une règle de transfert spécifique dans un projet d'une région
gcloud alpha iap web set-iam-policy POLICY_FILE --project=PROJECT_ID \ --resource-type=forwarding_rule --service=SERVICE --region=REGION
API
Configurer l'autorisation au niveau de l'organisation
organization/ORGANIZATION
Configurer les autorisations au niveau du dossier
folders/FOLDER
Configurer l'autorisation au niveau du projet
projects/PROJECT_ID
Configurer l'autorisation pour toutes les règles de transfert globales d'un projet
projects/PROJECT_ID/forwarding_rule
Configurer l'autorisation pour toutes les règles de transfert d'un projet dans une région
projects/PROJECT_ID/iap_web/forwarding_rule-REGION
Configurer l'autorisation d'une règle de transfert globale spécifique dans un projet
projects/PROJECT_ID/iap_web/forwarding_rule/services/SERVICE
Configurer l'autorisation d'une règle de transfert spécifique dans un projet d'une région
projects/PROJECT_ID/iap_web/forwarding_rule-REGION/services/SERVICE
Définir la stratégie d'autorisation
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @policy.json \ "https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"
Pour policy.json
, vous pouvez créer le fichier JSON en exécutant la commande suivante. Modifiez les valeurs si nécessaire.
cat << EOF > policy.json { "policy": { "bindings": { "members": "user:example@example.com", "role": "roles/iap.httpsResourceAccessor", } } } EOF