Se usó la API de Cloud Translation para traducir esta página.

Habilita IAP para Compute Engine

En esta página, se explica cómo proteger una instancia de Compute Engine con Identity-Aware Proxy (IAP).

Antes de comenzar

Con el fin de habilitar IAP para Compute Engine, necesitas lo siguiente:

Un proyecto de la consola de Google Cloud con facturación habilitada
Un grupo de una o más instancias de Compute Engine, entregadas por un balanceador de cargas
- Obtén información sobre cómo configurar un balanceador de cargas HTTPS externo.
- Obtén información sobre cómo configurar un balanceador de cargas HTTP interno.
Un nombre de dominio registrado con la dirección de tu balanceador de cargas
Un código de aplicación para verificar que todas las solicitudes tengan una identidad
- Aprender cómo obtener la identidad del usuario

Si aún no configuraste tu instancia de Compute Engine, consulta Configura IAP para Compute Engine con el fin de obtener una explicación completa.

IAP usa un cliente de OAuth administrado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.

Puedes habilitar IAP en un servicio de backend de Compute Engine o en una regla de reenvío de Compute Engine. Cuando habilitas la IAP en un servicio de backend de Compute Engine, solo ese servicio de backend está protegido por la IAP. Cuando habilitas IAP en una regla de reenvío de Compute Engine, IAP protege todas las instancias de Compute Engine que se encuentran detrás de la regla de reenvío.

Habilita IAP en una regla de reenvío

Puedes habilitar IAP en una regla de reenvío con el framework de políticas de autorización del balanceador de cargas.

gcloud

Ejecuta el siguiente comando para preparar un archivo policy.yaml.

$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF

Ejecuta el siguiente comando para habilitar el IAP en una regla de reenvío.

gcloud beta network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: Es la región en la que se encuentra el recurso.
FORWARDING_RULE_ID: Es el ID del recurso de la regla de reenvío.
AUTHZ_POLICY_NAME: Es el nombre de la política de autorización.

API

Ejecuta el siguiente comando para preparar un archivo policy.json.

cat << EOF > policy.json
{
"name": "AUTHZ_POLICY_NAME",
"target": {
"loadBalancingScheme": "INTERNAL_MANAGED",
"resources": [
"https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
],
},
"action": "CUSTOM",
"httpRules": [],
"customProvider": {
"cloudIap": {}
}
}
EOF

Ejecuta el siguiente comando para habilitar el IAP en una regla de reenvío.
```
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
```
Reemplaza lo siguiente:
- PROJECT_ID: El ID del proyecto de Google Cloud.
- LOCATION: Es la región en la que se encuentra el recurso.
- FORWARDING_RULE_ID: Es el ID del recurso de la regla de reenvío.
- AUTHZ_POLICY_NAME: Es el nombre de la política de autorización.

Después de habilitar IAP en una regla de reenvío, puedes aplicar permisos a los recursos.

Habilita IAP en un servicio de backend de Compute Engine

Puedes habilitar los IAP en un servicio de backend de Compute Engine a través de ese servicio.

Console

El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la consola de Google Cloud.

Si aún no has configurado la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo. Para configurar la pantalla de consentimiento de OAuth, consulta Configura la pantalla de consentimiento de OAuth.

Configura el acceso de IAP

Ve a la página Identity-Aware Proxy.
Ir a la página Identity-Aware Proxy
Selecciona el proyecto que deseas proteger con IAP.
Selecciona la casilla de verificación junto al recurso al que deseas otorgar acceso.

Si no ves un recurso, asegúrate de que se haya creado y de que el controlador de entrada de Compute Engine de BackendConfig esté sincronizado.

Para verificar que el servicio de backend esté disponible, ejecuta el siguiente comando de gcloud:
gcloud compute backend-services list
En el panel de la derecha, haz clic en Agregar principal.
En el cuadro de diálogo Agregar principales que aparece, ingresa las direcciones de correo electrónico de los grupos o personas a quienes se debe asignar la función Usuario de app web protegida con IAP para el proyecto.
Los siguientes tipos de cuentas principales pueden tener este rol:
- Cuenta de Google: usuario@gmail.com
- Grupo de Google: administradores@googlegroups.com
- Cuenta de servicio: servidor@ejemplo.gserviceaccount.com
- Dominio de Google Workspace: example.com
Asegúrate de agregar una Cuenta de Google a la que tengas acceso.
En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de aplicación web protegida con IAP.
Haz clic en Guardar.

Activa IAP

En la página Identity-Aware Proxy, en APPLICATIONS, busca el balanceador de cargas que entrega el instance group al que deseas restringir el acceso. A fin de activar IAP para un recurso, activa o desactiva el botón en la columna IAP.
Condición para habilitar IAP:
- Al menos un protocolo en la configuración del frontend del balanceador de cargas debe ser HTTPS. Obtén información sobre cómo configurar un balanceador de cargas.
- Necesitas los permisos compute.backendServices.update, clientauthconfig.clients.create y clientauthconfig.clients.getWithSecret. Estos permisos se otorgan por funciones, como la función de Editor de proyectos. Para obtener más información, consulta cómo administrar el acceso a los recursos protegidos con IAP.
En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que deseas que IAP proteja tu recurso. Después de activar IAP, se requieren credenciales de acceso para todas las conexiones a tu balanceador de cargas. Solo las cuentas con la función Usuario de la aplicación web protegida con IAP en el proyecto tendrán acceso.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

To authenticate, use the Google Cloud CLI and run the following command.
```
gcloud auth login
```
To sign in, follow the URL that appears.
After you sign in, copy the verification code that appears and paste it in the command line.
Run the following command to specify the project that contains the resource that you want to protect with IAP.
```
gcloud config set project PROJECT_ID
```

To enable IAP, run either the globally or regionally scoped command.

Global scope

gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled

Regional scope

gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

Run the following command to prepare a settings.json file.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Run the following command to enable IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.