Cette page explique comment gérer les accès individuels ou de groupe aux ressources sécurisées par Identity-Aware Proxy (IAP) au niveau des ressources.
Présentation
IAP vous permet de configurer des stratégies IAP pour des ressources individuelles et Cloud Run dans un projet Google Cloud. Plusieurs applications d'un projet peuvent être chacune soumises à des stratégies d'accès différentes. Il s'agit entre autres de projets comportant des applications Compute Engine, Google Kubernetes Engine et App Engine. Pour les applications App Engine, différentes stratégies d'accès peuvent s'appliquer à chaque version et service.
Pour gérer un niveau de projet et un rôle d'accès supérieur, consultez la page d'administration IAM. Les listes des utilisateurs disposant d'un accès (les "principals") au niveau du projet s'appliquent à toutes les ressources du projet sécurisées par IAP.
Avant de commencer
Avant de commencer, vous aurez besoin des éléments suivants :
- Une ressource sécurisée par IAP à laquelle vous souhaitez ajouter un accès individuel ou de groupe
- Des noms d'utilisateur ou de groupe pour lesquels vous souhaitez ajouter des accès
Activer et désactiver IAP
Pour activer et désactiver IAP, certaines autorisations sont requises. Le tableau ci-dessous indique les autorisations nécessaires pour chaque type d'application.
Type d'application | Autorisation requise |
---|---|
App Engine | appengine.applications.update |
Compute Engine, Google Kubernetes Engine ou Cloud Run | compute.backendservices.update |
Ces autorisations sont accordées par des rôles (par exemple, Éditeur de projet, Administrateur App Engine et Administrateur de réseaux Compute). Même si ces rôles permettent d'activer et de désactiver IAP, ils ne disposent pas des autorisations nécessaires pour modifier les stratégies d'accès.
De plus, l'activation d'IAP avec la console Google Cloud peut également nécessiter les autorisations clientauthconfig.clients.create
et clientauthconfig.clients.getWithSecret
. Ces autorisations sont accordées par le rôle Éditeur de projet.
Pour en savoir plus sur l'attribution de rôles, consultez la page Accorder, modifier et révoquer les accès.
Gérer les accès dans la console Google Cloud
Pour contrôler l'accès à une ressource sécurisée par IAP avec la console Google Cloud, suivez la procédure permettant d'ajouter ou de supprimer un accès.
Ajouter des accès
Accédez à la page Identity-Aware Proxy.
Accéder à la page "Identity-Aware Proxy"Sélectionnez le projet que vous souhaitez sécuriser avec IAP. La sélection de ressources suivante sécurise un groupe défini de ressources :
Tous les services Web : toutes les ressources du projet seront sécurisées. Notez que ce n'est pas la même chose que d'accorder un accès au niveau du projet via la page d'administration IAM. Un utilisateur disposant du rôle Administrateur de stratégies IAP au niveau de la ressource Tous les services Web n'a que les autorisations pour les stratégies IAP.
Services backend : tous les services backend seront sécurisés.
Dans le panneau d'informations situé à droite, ajoutez les adresses e-mail des groupes ou des personnes auxquels vous souhaitez attribuer un rôle IAM (Identity and Access Management) pour la ressource.
Appliquez des rôles de stratégie d'accès au principal en choisissant l'un des rôles suivants dans la liste déroulante Sélectionner un rôle:
Propriétaire : accorde le même accès que le rôle d'administrateur de stratégies IAP. Utilisez plutôt le rôle Administrateur de stratégies IAP. Ce rôle ne permet que de modifier les stratégies et ne donne pas accès à l'application.
Administrateur de stratégies IAP : accorde des droits d'administrateur sur les stratégies IAP.
Utilisateur de l'application Web sécurisée par IAP : accorde l'accès à l'application et à d'autres ressources HTTPS utilisant IAP.
Examinateur de sécurité : accorde l'autorisation d'afficher et d'auditer des stratégies IAP.
Une fois les adresses e-mail ajoutées et les rôles définis, cliquez sur Ajouter.
Supprimer l'accès
- Accédez à la page Identity-Aware Proxy.
Accéder à la page "Identity-Aware Proxy" - Sélectionnez la ressource sécurisée avec IAP.
- Dans le panneau d'informations situé à droite, sélectionnez la section correspondant au rôle que vous souhaitez retirer à un compte principal.
- Dans la section développée, à côté de chaque nom d'utilisateur ou de groupe auquel vous souhaitez retirer le rôle, cliquez sur Supprimer.
- Dans la boîte de dialogue Supprimer le compte principal qui s'affiche, cliquez sur Supprimer.
Gérer l'accès avec l'API
IAM offre un ensemble standard de méthodes pour la création et la gestion de stratégies de contrôle d'accès sur les ressources Google Cloud.
Ressources et autorisations
L'API IAP vous permet d'appliquer des autorisations IAM à des ressources individuelles dans un projet sécurisé par IAP. Les autorisations IAM accordées à un certain niveau s'appliquent à tous les niveaux inférieurs. Par exemple, une autorisation accordée au niveau du projet s'applique à toutes les ressources Google Cloud de ce projet. Les accès accordés au niveau du projet et des niveaux supérieurs sont gérés sur la page d'administration IAM, mais s'affichent sur la page d'administration IAP.
Les utilisateurs ont besoin de certaines autorisations pour accéder à une application sécurisée par IAP.
Pour accorder ces autorisations, les administrateurs peuvent utiliser une API pour mettre à jour les stratégies IAM. L'autorisation iap.webServiceVersions.accessViaIAP
permet à l'utilisateur d'accéder à une application. Si vous vous servez d'IAP pour contrôler l'accès à des services d'administration tels que SSH et RDP, les utilisateurs auront besoin de l'autorisation iap.tunnelInstances.accessViaIAP
.
Chaque ressource IAP dispose de ses propres autorisations getIamPolicy
et setIamPolicy
grâce auxquelles il est possible de gérer les stratégies d'accès de la ressource en question et de ses enfants.
Pour appeler l'API IAM, créez un appel avec un chemin d'URL vers une ressource. Voici un exemple d'appel qui récupère la stratégie IAM pour une version de service de l'application App Engine.
https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web/
appengine-APP_ID/services/SERVICE_ID/versions/VERSION_ID:getIamPolicy
Le tableau suivant répertorie les types de ressources acceptés, ainsi que les autorisations requises pour appeler l'API IAM.
Type de ressource | Autorisations |
---|---|
Toutes les applications Web sécurisées par IAP du projet Cela revient à cocher la case Tous les services Web sur la page d'administration IAP. Chemin https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_web |
iap.web.getIamPolicy iap.web.setIamPolicy |
Tous les services backend du projet Cela revient à cocher la case Service backend sur la page d'administration IAP. Chemins d'accès Portée globale: https://iap.googleapis.com/v1/projects/ Champ d'application régional: https://iap.googleapis.com/v1/projects/ |
iap.webTypes.getIamPolicy iap.webTypes.setIamPolicy |
Toutes les règles de transfert du projet Autorisations pour toutes les règles de transfert du projet. Chemins d'accès Portée globale: https://iap.googleapis.com/v1/projects/ Champ d'application régional: https://iap.googleapis.com/v1/projects/ |
iap.webTypes.getIamPolicy iap.webTypes.setIamPolicy |
Une application App Engine Cela revient à cocher la case Application App Engine sur la page d'administration IAP. Chemin https://iap.googleapis.com/v1/projects/ |
iap.webTypes.getIamPolicy iap.webTypes.setIamPolicy |
Un service backend Compute Engine Le chemin d'accès du service backend peut indiquer l'ID du service backend ou son nom. Chemins d'accès Portée globale: https://iap.googleapis.com/v1/projects/ Champ d'application régional: https://iap.googleapis.com/v1/projects/ |
iap.webServices.getIamPolicy iap.webServices.setIamPolicy |
Règle de transfert Compute Engine Autorisations pour une règle de transfert. Le chemin d'accès de la règle de transfert peut spécifier l'ID ou le nom de la règle de transfert. Chemins d'accès Portée globale: https://iap.googleapis.com/v1/projects/ Champ d'application régional: https://iap.googleapis.com/v1/projects/ |
iap.webServices.getIamPolicy iap.webServices.setIamPolicy |
Un service d'application App Engine Chemin https://iap.googleapis.com/v1/projects/ |
iap.webServices.getIamPolicy iap.webServices.setIamPolicy |
An App Engine service version Compute Engine doesn't support versioning. Path https://iap.googleapis.com/v1/projects/ |
iap.webServiceVersions.getIamPolicy iap.webServiceVersions.setIamPolicy |
Toutes les instances de VM sécurisées par IAP du projet Cela revient à cocher la case Toutes les ressources de tunnel sur la page d'administration IAP. Chemin https://iap.googleapis.com/v1/projects/ |
iap.tunnel.getIamPolicy iap.tunnel.setIamPolicy |
Une zone contenant au moins une instance de VM Cette option est identique à la case à cocher du nom de zone sur la page d'administration de l'IAP (par exemple, us-central1-c ). Chemin https://iap.googleapis.com/v1/projects/ |
iap.tunnelZones.getIamPolicy iap.tunnelZones.setIamPolicy |
Instance de VM individuelle Chemin d'accès https://iap.googleapis.com/v1/projects/ |
iap.tunnelInstances.getIamPolicy iap.tunnelInstances.setIamPolicy |
Région comportant au moins un groupe de destinations, par exemple us-central1 Chemin https://iap.googleapis.com/v1/projects/ |
iap.tunnelLocations.getIamPolicy iap.tunnelLocations.setIamPolicy |
Un groupe de destinations individuel Chemin https://iap.googleapis.com/v1/projects/ |
iap.tunnelDestGroups.getIamPolicy iap.tunnelDestGroups.setIamPolicy |
Rôles
Dans le tableau suivant, vous trouverez le récapitulatif des rôles IAM pour IAP avec une liste correspondante de toutes les autorisations propres à IAP incluses dans chaque rôle. Pour en savoir plus sur les rôles IAM, consultez la page Gérer les rôles et les autorisations.
Rôle | Autorisation(s) associée(s) | Description |
---|---|---|
Utilisateur de l'application Web sécurisée par IAP (roles/iap.httpsResourceAccessor ) |
iap.webServiceVersions.accessViaIAP |
Permet d'accéder aux ressources App Engine et Compute Engine. |
Utilisateur de tunnels sécurisés par IAP (roles/iap.tunnelResourceAccessor ) |
iap.tunnelInstances.accessViaIAP iap.tunnelDestGroups.accessViaIAP |
Accorde l'accès aux instances de VM sécurisées par IAP. |
Administrateur de stratégies IAP (roles/iap.admin ) |
iap.web.getIamPolicy iap.web.setIamPolicy iap.webTypes.getIamPolicy iap.webTypes.setIamPolicy iap.webServices.getIamPolicy iap.webServices.setIamPolicy iap.webServiceVersions.getIamPolicy iap.webServiceVersions.setIamPolicy iap.tunnel.getIamPolicy iap.tunnel.setIamPolicy iap.tunnelZones.getIamPolicy iap.tunnelZones.setIamPolicy iap.tunnelInstances.getIamPolicy iap.tunnelInstances.setIamPolicy |
Accorde des droits d'administration IAP pour gérer les stratégies d'accès IAP des ressources. |
Gérer les accès avec Google Cloud CLI
Refuser l'accès
Les stratégies de refus d'IAM (Identity and Access Management) vous permettent de définir des garde-fous pour l'accès aux ressources Google Cloud. Pour obtenir la liste des scénarios dans lesquels les stratégies de refus sont utiles, consultez la section Cas d'utilisation.
Vous pouvez créer des règles de refus et y inclure toutes les autorisations IAP. Pour obtenir la liste des autorisations IAP que vous pouvez ajouter à une stratégie de refus, consultez la section Autorisations compatibles avec les stratégies de refus et recherchez iap.googleapis.com
. Bien que les stratégies de refus puissent être appliquées à toutes les autorisations IAP, leur efficacité est liée à un point d'attachement de stratégie de refus.
Certaines autorisations d'IAP ne sont efficaces qu'au niveau de leur ressource spécifique et non sur ses descendants. Par exemple,iap.organizations.getSettings
donne accès à getSettings
au niveau de l'organisation et non à ses descendants. Cela signifie que les administrateurs doivent lister explicitement toutes les autorisations précises pertinentes lorsqu'ils élaborent des stratégies de refus pour refuser l'accès à un point d'attachement et à ses descendants.
Pour obtenir la liste complète de ces autorisations précises, consultez la section Autorisations compatibles dans les stratégies de refus.
Toutes les autorisations sous le FQDN iap.googleapis.com
et les types de ressources iap.organizations
, iap.folders
, iap.projects
, iap.web
, iap.webTypes
, iap.webServices
et iap.webServicesVersions
sont des autorisations précises.
Voici un exemple de stratégie de refus IAM pour refuser l'accès à l'API getSettings
à un principal d'une organisation et à ses descendants.
{
"name": "policies/cloudresourcemanager.googleapis.com%2Forganizations%2F253519172624/denypolicies/testpolicyid",
"uid": "06ccd2eb-d2a5-5dd1-a746-eaf4c6g3f816",
"kind": "DenyPolicy",
"displayName": "Only project admins can delete projects.",
"etag": "MTc1MTkzMjY0MjUyMTExODMxMDQ=",
"createTime": "2021-09-07T23:15:35.258319Z",
"updateTime": "2021-09-07T23:15:35.258319Z",
"rules": [
{
"denyRule": {
"deniedPrincipals": [
"principalSet://goog/public:all"
],
"deniedPermissions": [
"iap.googleapis.com/iap.organizations.getSettings",
"iap.googleapis.com/iap.folders.getSettings",
"iap.googleapis.com/iap.projects.getSettings",
"iap.googleapis.com/iap.web.getSettings",
"iap.googleapis.com/iap.webTypes.getSettings",
"iap.googleapis.com/iap.webServices.getSettings",
"iap.googleapis.com/iap.webServicesVersions.getSettings",
],
}
}
]
}
Au lieu de spécifier toutes les autorisations précises, voici un exemple de stratégie de refus IAM avec une seule autorisation: *.getSettings
.
{
"name": "policies/cloudresourcemanager.googleapis.com%2Forganizations%2F253519172624/denypolicies/testpolicyid",
"uid": "06ccd2eb-d2a5-5dd1-a746-eaf4c6g3f816",
"kind": "DenyPolicy",
"displayName": "Only project admins can delete projects.",
"etag": "MTc1MTkzMjY0MjUyMTExODMxMDQ=",
"createTime": "2021-09-07T23:15:35.258319Z",
"updateTime": "2021-09-07T23:15:35.258319Z",
"rules": [
{
"denyRule": {
"deniedPrincipals": [
"principalSet://goog/public:all"
],
"deniedPermissions": [
"iap.googleapis.com/*.getSettings",
],
}
}
]
}
Vous trouverez ci-dessous des méthodes plus simples pour créer une stratégie de refus IAM sans avoir à spécifier toutes les autorisations précises.
Action d'administration | Autorisation dans la règle de refus |
---|---|
Refuser des autorisations IAP spécifiques pour tous les types de ressources IAP | *.updateSettings *.getSettings *.setIamPolicy *.getIamPolicy |
Refuser toutes les autorisations IAP pour un type de ressource spécifique | iap.organizations.* iap.folders.* iap.projects.* iap.web.* iap.webTypes.* iap.webServices.* iap.webServicesVersions.* |
Accès public
Pour accorder l'accès à une ressource à tous, attribuez un rôle à l'un des comptes principaux suivants:
allAuthenticatedUsers
: toute personne authentifiée avec un compte Google ou un compte de service.allUsers
: toute personne ayant accès à Internet, y compris les utilisateurs authentifiés et non authentifiés. L'en-tête signé de la requête ne comporte pas de revendicationsub
ouemail
.
Si un accès public est accordé, IAP ne génère pas de journaux Cloud Audit Logging pour la requête.
Actuellement, les liaisons qui accordent un accès public ne peuvent pas être associées à une condition.
Par exemple, une stratégie rendant une ressource accessible à tous si le chemin de la requête commence par /public/
n'est pas valide.