Cette page a été traduite par l'API Cloud Translation.

Bonnes pratiques

Cette page décrit les bonnes pratiques concernant l'utilisation d'Identity-Aware Proxy (IAP).

Cache

N'utilisez pas de CDN tiers devant votre application. Les CDN peuvent mettre des pages en cache et les diffuser auprès d'utilisateurs non authentifiés.
- Si vous disposez de ressources volumineuses non sensibles et que vous souhaitez les diffuser à partir d'un CDN, utilisez un domaine distinct, tel que images.yourapp.com, pour ces ressources. Utilisez le CDN avec ce domaine et ajoutez l'en-tête de réponse HTTP Cache-control: private à tous les objets qui ne doivent être diffusés qu'auprès des utilisateurs authentifiés.

Afin de sécuriser correctement votre application, vous devez utiliser des en-têtes signés pour l'environnement standard App Engine, Compute Engine et les applications GKE.

Assurez-vous que toutes les requêtes adressées à Compute Engine ou à GKE sont acheminées via l'équilibreur de charge :
- Configurez une règle de pare-feu pour autoriser la vérification de l'état des machines, et assurez-vous que tout le trafic vers votre machine virtuelle (VM) provient d'une adresse IP Google Front End (GFE).
- Pour bénéficier d'une protection supplémentaire, vérifiez l'adresse IP source des requêtes dans votre application et assurez-vous qu'elles proviennent bien de la plage d'adresses IP autorisée par la règle de pare-feu.
Dans la console Google Cloud, IAP affiche une erreur ou un avertissement si la configuration de vos règles de pare-feu semble incorrecte. La console Google Cloud d'IAP ne détecte pas quelle est la VM utilisée pour chaque service. Par conséquent, l'analyse par le biais du pare-feu n'inclut pas de fonctionnalités avancées (par exemple, les réseaux autres que celui par défaut et les tags de règles de pare-feu). Pour contourner cette analyse, activez IAP via la commande gcloud compute backend-services update.