Esta página foi traduzida pela API Cloud Translation.

Configurar o Identity-Aware Proxy para o Cloud Run
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, descrevemos como ativar o Identity-Aware Proxy no Cloud Run e proteger o tráfego destinado a um serviço do Cloud Run encaminhando para o IAP para autenticação. Ao ativar o IAP no Cloud Run, você pode rotear o tráfego com um único clique de todos os caminhos de entrada, incluindo URLs run.app padrão e balanceadores de carga.

Limitações conhecidas

O projeto precisa estar em uma organização.
As identidades precisam ser da mesma organização.
Não é possível configurar o IAP no balanceador de carga e no serviço do Cloud Run.
Algumas integrações, como o Pub/Sub, podem parar de funcionar se o IAP estiver ativado.

Antes de começar

Ativar a API IAP

Ativar o IAP no Cloud Run

É possível ativar o IAP no Cloud Run.

Se você usar o IAP e o IAM no mesmo serviço do Cloud Run, observe as seguintes condições:

As verificações do IAP e do IAM são realizadas.
A verificação do IAP acontece primeiro e aceita ou bloqueia solicitações com base na configuração do IAP.
Se a solicitação passar na verificação do IAP, o IAP usará a própria conta de serviço para se autenticar na verificação do IAM do Cloud Run.
Como a verificação do IAP acontece primeiro, alguns serviços, como o Pub/Sub, podem não se autenticar corretamente.

Ative o IAP no Cloud Run usando o console do Google Cloud ou a CLI do Google Cloud.

Console

Para ativar o IAP no Cloud Run:

No console do Google Cloud, acesse a página do Cloud Run:

Acessar o Cloud Run
Se você estiver configurando um novo serviço para implantação, selecione Implantar contêiner > Serviço. Se você estiver configurando e implantando um serviço que já existe, clique nele e depois em Editar e implantar nova revisão.
Se você estiver configurando um novo serviço, preencha a página inicial de configurações de serviço conforme necessário e selecione Autenticação avançada com o Identity-Aware Proxy (IAP).
Se você estiver configurando e implantando um serviço que já existe, clique nele e selecione Autenticação avançada com o Identity Aware Proxy (IAP).
Clique em Editar política para criar uma política de acesso com base no contexto:
- Adicione um ou mais participantes e, opcionalmente, o nível de acesso que cada participante precisa atender para ter acesso ao aplicativo.
- Clique em Salvar.
Clique em Save.

gcloud

Para ativar o IAP diretamente do Cloud Run, adicione a flag --iap ao implantar o app:

Implante seu serviço do Cloud Run usando um dos seguintes comandos:

Para um novo serviço:
```
gcloud beta run deploy SERVICE_NAME \
--region=REGION \
--image=IMAGE_URL \
--no-allow-unauthenticated \
--iap
```
Para um serviço atual:
```
gcloud beta run services update SERVICE_NAME \
--region=REGION \
--iap
```
Substitua:
- SERVICE_NAME pelo nome do seu serviço do Cloud Run.
- REGION pelo nome da sua região do Cloud Run.
- IMAGE_URL por uma referência à imagem de contêiner. Por exemplo, us-docker.pkg.dev/cloudrun/container/hello:latest. Se você usa o Artifact Registry, o repositório REPO_NAME já precisará ter sido criado. O URL tem o formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
Para verificar se o serviço está configurado com o IAP ativado, execute o seguinte comando:
```
gcloud beta run services describe SERVICE_NAME
```
A saída precisa conter a seguinte string:
```
Iap Enabled: true
```

Agora você está roteando todo o tráfego destinado ao serviço do Cloud Run configurado para o IAP para autenticação antes de passar para o contêiner.

Desativar o IAP no Cloud Run

É possível desativar o IAP usando o console do Google Cloud ou a CLI do Google Cloud.

Console

Para desativar o IAP no Cloud Run:

No console do Google Cloud, acesse a página do Cloud Run:

Acessar o Cloud Run
Clique no serviço que você quer modificar.
Clique em Segurança e limpe Autenticação avançada com o Identity Aware Proxy (IAP).
Clique em Salvar.

gcloud

Para desativar o IAP diretamente do Cloud Run, adicione a flag --no-iap ao implantar seu app:

Implante o serviço do Cloud Run usando um dos seguintes comandos:

Para um novo serviço:
```
gcloud beta run deploy SERVICE_NAME \
--region=REGION \
--image=IMAGE_URL \
--no-iap
```
Para um serviço atual:
```
gcloud beta run services update SERVICE_NAME \
--region=REGION \
--no-iap
```
Substitua:
- SERVICE_NAME pelo nome do seu serviço do Cloud Run.
- REGION pelo nome da sua região do Cloud Run.
- IMAGE_URL por uma referência à imagem de contêiner. Por exemplo, us-docker.pkg.dev/cloudrun/container/hello:latest. Se você usa o Artifact Registry, o repositório REPO_NAME já precisará ter sido criado. O URL tem o formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
Para verificar se o serviço não está mais configurado com o IAP ativado, execute o seguinte comando:
```
gcloud beta run services describe SERVICE_NAME
```
A saída não deve mais conter a seguinte string:
```
Iap Enabled: true
```

Você não roteia mais todo o tráfego destinado ao serviço do Cloud Run configurado para o IAP para autenticação antes de passar para o contêiner.

Gerenciar o acesso de usuários ou grupos

Por padrão, o IAP para Cloud Run usa identidades na organização com Contas do Google. É possível adicionar ou remover o acesso a um serviço do Cloud Run usando o console do Google Cloud ou a CLI do Google Cloud.

Console

Para adicionar ou remover acesso:

No console do Google Cloud, acesse a página do Cloud Run:

Acessar o Cloud Run
Clique no serviço que você quer modificar e em Segurança.
Em IAP, clique em Editar política.
Para adicionar acesso, insira o participante e, opcionalmente, o nível de acesso que você quer adicionar.
Para remover o acesso de um principal, clique no ícone Excluir política ao lado de Níveis de acesso.
Clique em Salvar.

gcloud

Para adicionar ou remover o acesso a um serviço do Cloud Run para usuários individuais ou grupos na sua organização, execute um dos seguintes comandos:

Para adicionar acesso:

gcloud beta iap web add-iam-policy-binding \
--member=user:USER_EMAIL \
--role=roles/iap.httpsResourceAccessor \
--region=REGION \
--resource-type=cloud-run \
--service=SERVICE_NAME

Para remover o acesso:

gcloud beta iap web remove-iam-policy-binding \
--member=user:USER_EMAIL \
--role=roles/iap.httpsResourceAccessor \
--region=REGION \
--resource-type=cloud-run \
--service=SERVICE_NAME

Substitua:

USER_EMAIL pelo endereço de e-mail do usuário.
REGION pelo nome da sua região do Cloud Run.
SERVICE_NAME pelo nome do seu serviço do Cloud Run.

Solução de problemas

A falha do agente de serviço causa um erro de IAM definido

Ativar o IAP em um novo projeto pela primeira vez pode causar o seguinte erro:

Setting IAM permissions failed

Isso ocorre porque o agente de serviço do Cloud Run falhou. Para resolver o problema, ative o IAP novamente ou defina a política do IAM manualmente.

A seguir

Para instruções sobre como ativar o IAP com o IAP de um serviço de back-end ou balanceador de carga, consulte Como ativar o IAP para o Cloud Run.
Para resolver problemas ao ativar o IAP para o Cloud Run, consulte Solução de problemas.
Ativar identidades externas.
Como ativar a configuração do OAuth.
Gerenciar o acesso a recursos protegidos pelo IAP.
Usar políticas da organização para controlar a ativação do IAP.

Configurar o Identity-Aware Proxy para o Cloud Run Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Limitações conhecidas

Antes de começar

Ativar o IAP no Cloud Run

Console

gcloud

Desativar o IAP no Cloud Run

Console

gcloud

Gerenciar o acesso de usuários ou grupos

Console

gcloud

Solução de problemas

A falha do agente de serviço causa um erro de IAM definido

A seguir

Configurar o Identity-Aware Proxy para o Cloud Run
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.