Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Um Ihre Webressourcen auf einfach zu verwaltende, skalierbare und detaillierte Weise zu sichern, bietetGoogle Cloud kontextsensitiven Zugriff über Identity-Aware Proxy (IAP). IAP wurde entwickelt, um das Sicherheitsmodell von BeyondCorp durchzusetzen, das im öffentlichen Internet einen Zero-Trust-Perimeter für sicheres Remote-Arbeiten ohne herkömmliches VPN einrichtet.
Sie können den sicheren Zugriff auf Ihre Websites oder Webanwendungen für Nutzer an beliebigen Orten oder auf jedem Gerät ermöglichen. Verwenden Sie dazu IAP, um detaillierte Beschränkungen zu steuern. Die Zugriffssteuerung kann nach der Nutzeridentität und dem Kontext ihrer Anfrage konfiguriert werden, ohne zusätzliche Änderungen an der Website vorzunehmen. Sie können auch Zugriffsrichtlinien für mehrere Anwendungen und Websites zentral definieren und erzwingen, einschließlich IAM-Richtlinien mit bedingter Bindung.
IAP funktioniert auch mit anderen Google Cloud Angeboten, einschließlich der App Engine-Standardumgebung, Compute Engine und Google Kubernetes Engine.
Zugriffsebenen konfigurieren
Beim Zugriff auf Webressourcen, die IAP kennt, müssen sich Nutzer mit ihren Anmeldeinformationen für den Google Identity-Dienst (z. B. ihrer Google Mail- oder Google Workspace-E-Mail-Adresse) oder einem LDAP anmelden, der bei einem LDAP-Verzeichnisdienst registriert ist, der mit dem Google-Identitätsdienst synchronisiert ist. Wenn der Nutzer autorisiert wurde, leitet IAP seine Anfrage zusammen mit den Headerdaten, die die Identität des Nutzers enthalten, an den Webserver weiter.
Abbildung 1. Nutzerzugriff auf Webressourcen hinter IAP steuern.
In der Cloud Console können Sie IAP so konfigurieren, dass nicht autorisierte Nutzer einfach nicht auf eine bestimmte Ressource zugreifen können.
Gehen Sie dazu für eine Ressource in App Engine folgendermaßen vor:
Wählen Sie die Ressource aus, die Sie ändern möchten.
Klicken Sie auf Hauptkonto hinzufügen und fügen Sie die E-Mail-Adressen von Gruppen oder Einzelpersonen hinzu, denen Sie für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zuweisen möchten.
In der folgenden Tabelle sind einige häufige Zugriffsszenarien und das Hauptkonto aufgeführt, auf das jedes Szenario Zugriff gewähren soll.
Zugriffsebene
Beispiel-Webressource
Beispielhauptkonto
Offen, öffentlich zugänglich
Öffentliche Website des Unternehmens
allUsers
Nutzerauthentifizierung
Website zum Einreichen von Support-Tickets.
allAuthenticatedUsers
Zugriff durch Mitarbeiter eingeschränkt
Anwendung, die im Intranet des Unternehmens ausgeführt wird.
bigcorpltd.com, contractors@bigcorpltd.com
Hochsensibler Zugriff auf Geräte und Mitarbeiter
Anwendung mit Zugriff auf private Kundendaten.
customer.support@bigcorpltd.com
Hinweis: Für diese Zugriffsebene müssen Sie über den Access Context Manager Beschränkungensinformationen wie Geräterichtlinienattribute oder zulässige IP-Subnetzwerke hinzufügen. Außerdem müssen Nutzer Arbeitsprofile auf ihrem Mobilgerät oder eine Chrome-Erweiterung in ihrem Browser eingerichtet haben.
Klicken Sie auf Hinzufügen, um Ihre Änderungen zu speichern.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-01 (UTC)."],[],[],null,["# Controlling access to websites and apps\n\nTo secure your web resources in a simple-to-manage, scalable, and granular way,\nGoogle Cloud offers [context-aware access](/context-aware-access/docs/overview)\nvia [Identity-Aware Proxy](/iap) (IAP). IAP is designed to\nenforce the [BeyondCorp](/beyondcorp) security model,\nwhich establishes a zero-trust perimeter on the public internet for secure,\nremote work without the need for a traditional VPN.\n\nYou can allow secure access to your websites or web apps for users located\nanywhere or on any device by using IAP to control granular\nrestrictions. Access control can be configured based on the user's identity and\ncontext of their request without making additional site changes. You can also\ncentrally define and enforce access policies across multiple apps and\nsites, including\n[IAM policies with conditional binding](/iap/docs/cloud-iap-context-aware-access-howto).\nIAP works with other Google Cloud offerings including [App Engine standard environment](/iap/docs/authenticate-users-google-accounts), [Compute Engine](/iap/docs/enabling-compute-howto), and [Google Kubernetes Engine](/iap/docs/enabling-kubernetes-howto).\n\nConfiguring your access levels\n------------------------------\n\nWhen accessing web resources that IAP knows about, users need to log in with their Google identity service credentials (for example, their Gmail or Google Workspace email address) or an LDAP registered with an LDAP directory service that's synchronized with the Google identity service. If the user is authorized, IAP forwards their request to the web server along with header data that includes the user's identity.\n\n**Figure 1.** Controlling user access to web resources behind IAP.\n\nIn the Cloud console, you can configure IAP to simply block\nunauthorized users from accessing a given resource.\n\nTo do so for a resource on App Engine:\n\n1. Open the [Identity-Aware Proxy page](https://console.cloud.google.com/security/iap) in your active project.\n2. Select the resource you want to modify.\n3. Click **Add Principal** and add the email addresses of groups\n or individuals to whom you want to grant the\n **IAP-secured Web App User** role for the project.\n\n The table below lists some common access scenarios and\n the principal to grant access to for each scenario.\n\n4. Click **Add** to save your changes.\n\nNext steps\n----------\n\n- Get started by familiarizing yourself with [IAP concepts](/iap/docs/concepts-overview) and following the [quickstarts](/iap/docs/quickstarts).\n- Learn more by viewing these introductory videos:\n - [BeyondCorp in a bottle](https://www.youtube.com/watch?v=TtmsV-xq0r0)\n - [Centralize access to your organization's websites with Identity-Aware Proxy](https://youtu.be/xM9-FSU5MoY)\n- Check out these tutorials for using IAP with [App Engine standard environment](/iap/docs/authenticate-users-google-accounts), [Compute Engine](/iap/docs/enabling-compute-howto), [Google Kubernetes Engine](/iap/docs/enabling-kubernetes-howto), and [on-premises apps](/iap/docs/enabling-on-prem-howto)."]]
