Activer l'IAP pour Cloud Run

Cette page explique comment sécuriser un service Cloud Run avec Identity-Aware Proxy (IAP).

Limitations connues

  • L'IAP ne sécurise pas le domaine fourni par Cloud Run pour un service déployé. Pour vous assurer que seul l'IAP est autorisé à accéder au service, utilisez l'authentification IAM sur le service Cloud Run. Pour autoriser IAP à accéder au service Cloud Run, attribuez au rôle de compte de service IAP service-[PROJECT_NUMBER]@gcp-sa-iap.iam.gserviceaccount.com le rôle de demandeur Cloud Run. IAP génère un jeton d'ID et l'utilise pour s'authentifier auprès de Cloud Run à l'aide de l'en-tête X-Serverless-Authorization.

  • IAP s'authentifie auprès de Cloud Run à l'aide de l'en-tête X-Serverless-Authorization. Cloud Run transmet cet en-tête à votre service après avoir enlevé sa signature. Si votre service est conçu pour transférer la requête vers un autre service Cloud Run qui nécessite une authentification IAM, mettez à jour votre service pour supprimer d'abord cet en-tête.

  • IAP n'est pas compatible avec Cloud CDN.

Avant de commencer

Pour activer IAP pour Cloud Run, vous avez besoin des éléments suivants:

IAP utilise un client OAuth géré par Google pour authentifier les utilisateurs. Seuls les utilisateurs de l'organisation peuvent accéder à l'application compatible avec IAP. Si vous souhaitez autoriser l'accès à des utilisateurs externes à votre organisation, consultez la section Activer IAP pour les applications externes.

Activer IAP

Console

Le client OAuth géré par Google n'est pas disponible lorsque vous activez l'IAP à l'aide de la console Google Cloud.

Si vous n'avez pas configuré l'écran d'autorisation OAuth de votre projet, vous êtes invité à le faire. Pour configurer votre écran d'autorisation OAuth, consultez Configurer votre écran de consentement OAuth.

Configurer l'accès à IAP

  1. Accédez à la page Identity-Aware Proxy.
  2. Sélectionnez le projet que vous souhaitez sécuriser avec IAP.
  3. Sous APPLICATIONS, cochez la case à côté du service de backend de l'équilibreur de charge auquel vous souhaitez ajouter des membres.
  4. Dans le panneau d'informations situé à droite, cliquez sur Ajouter un membre.
  5. Dans la boîte de dialogue Ajouter des membres, saisissez les comptes des groupes ou des personnes auxquels vous souhaitez accorder le rôle Utilisateur de l'application Web sécurisée par IAP pour le projet. Les types de comptes suivants peuvent être ajoutés en tant que membres :

    • Compte Google: utilisateur@gmail.com. Il peut également s'agir d'un compte Google Workspace, tel que utilisateur@google.com ou un autre domaine Workspace.
    • Groupe Google : admins@googlegroups.com
    • Compte de service: server@example.iam.gserviceaccount.com
    • Domaine Google Workspace : example.com
  6. Sélectionnez Cloud IAP > Utilisateur de l'application Web sécurisée par IAP dans la liste déroulante Rôles.

  7. Cliquez sur Enregistrer.

Activer IAP

  1. Sur la page IAP, sous APPLICATIONS (APPLICATIONS), recherchez le service de backend de l'équilibreur de charge auquel vous souhaitez restreindre l'accès. Pour activer IAP pour une ressource, cliquez sur le bouton d'activation/de désactivation IAP. Pour activer IAP :
    • Au moins un protocole de la configuration de l'interface d'équilibrage de charge doit correspondre à HTTPS. En savoir plus sur la configuration d'un équilibreur de charge
    • Vous avez besoin des autorisations compute.backendServices.update, clientauthconfig.clients.create et clientauthconfig.clients.getWithSecret. Ces autorisations sont accordées par des rôles (par exemple, Éditeur de projet). Pour en savoir plus, consultez la page Gérer l'accès aux ressources sécurisées par IAP.
  2. Dans la fenêtre Activer IAP qui s'affiche, cliquez sur Activer pour confirmer que vous souhaitez qu'IAP sécurise votre ressource. Une fois IAP activé, des identifiants de connexion sont requis pour toutes les connexions à votre équilibreur de charge. Seuls les comptes disposant du rôle Utilisateur de l'application Web sécurisée par IAP sur le projet y ont accès.
  3. Suivez les instructions de la section Contrôle des accès avec IAM pour autoriser l'IAP à envoyer du trafic au service Cloud Run backend.

    • Principal: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
    • Rôle: Demandeur Cloud Run

gcloud

  1. Si vous ne l'avez pas déjà fait, créez un compte de service en exécutant la commande suivante. Si vous avez déjà créé un compte de service, l'exécution de la commande ne crée pas de comptes de service en double.
    gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
  2. Accordez l'autorisation d'appelant au compte de service créé à l'étape précédente en exécutant la commande suivante.
    gcloud run services add-iam-policy-binding [SERVICE-NAME] \
    --member='serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com'  \
    --role='roles/run.invoker'
    
  3. Activez l'IAP en exécutant la commande à portée globale ou régionale, selon que votre service de backend d'équilibreur de charge est global ou régional. Utilisez l'ID client et le code secret OAuth de l'étape précédente.

    Champ d'application global

    gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
    

    Champ d'application régional

    gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
    
    Remplacez les éléments suivants :

    • BACKEND_SERVICE_NAME : nom du service de backend.
    • REGION_NAME: région dans laquelle vous souhaitez activer IAP.

Une fois que vous avez activé IAP, vous pouvez utiliser la Google Cloud CLI pour modifier une stratégie d'accès IAP à l'aide du rôle Identity and Access Management roles/iap.httpsResourceAccessor. Pour en savoir plus, consultez Gérer les rôles et les autorisations.

Configurer Cloud Run pour limiter l'accès

Vous pouvez configurer votre service Cloud Run pour n'autoriser que les clients internes et l'équilibreur de charge externe, qui bloque toutes les requêtes directes provenant d'Internet public.

Suivez la procédure décrite dans la section Limiter l'entrée pour Cloud Run pour configurer le paramètre d'entrée de votre service Cloud Run sur Équilibrage de charge interne et Cloud Load Balancing.

Résoudre les erreurs

 The IAP service account is not provisioned 
Si cette erreur s'affiche, vous essayez d'activer l'API IAP sur un service Cloud Run à l'aide de gcloud CLI. La configuration de l'IAP via gcloud CLI inclut l'étape supplémentaire consistant à provisionner un compte de service IAP dans votre projet à l'aide de la commande suivante : gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
 Your client does not have permission to get URL from this server 
  • IAP utilise les autorisations du compte de service IAP pour appeler votre service Cloud Run. Assurez-vous d'avoir attribué le rôle "Demandeur Cloud Run" au compte de service suivant: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com.

  • Si vous avez attribué le rôle "Demandeur Cloud Run" au compte de service précédent et que vous rencontrez toujours ce problème, redéployez votre service Cloud Run.

Le compte de service IAP n'a pas besoin de l'autorisation run.routes.invoke

Lors de la version Preview de l'IAP avec Cloud Run, Cloud Run n'a pas effectué la vérification des autorisations run.routes.invoke pour les appels provenant de l'IAP qui utilisent le rôle de demandeur Cloud Run. Avec la disponibilité générale (DG), Cloud Run effectue cette vérification d'autorisation.

Pour éviter les modifications non compatibles, certains projets client qui dépendaient de ce comportement pendant la version Preview ont été ajoutés à une liste d'autorisation afin que l'autorisation ne soit pas vérifiée. Contactez l'assistance Cloud Run pour supprimer ces projets de la liste d'autorisation réservée aux versions Preview.

Étape suivante

Pour vous aider à configurer l'API IAP pour Cloud Run avec Terraform, explorez un exemple de code Terraform.