Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Para proteger seus recursos da Web de maneira simples, fácil de gerenciar, escalonável e granular,
Google Cloud oferece acesso baseado no contexto
por meio do Identity-Aware Proxy (IAP). O IAP foi projetado para
aplicar o modelo de segurança BeyondCorp,
que estabelece um perímetro de confiança zero na Internet pública para trabalho remoto
seguro sem a necessidade de uma VPN tradicional.
Permita o acesso seguro aos seus sites ou apps da Web para usuários localizados
em qualquer lugar ou em qualquer dispositivo, usando o IAP para controlar restrições
granulares. O controle de acesso pode ser configurado com base na identidade do usuário e
no contexto da solicitação, sem fazer outras alterações no site. Também é possível
definir e aplicar políticas de acesso de maneira centralizada em vários aplicativos e
sites, incluindo
políticas de IAM com vinculação condicional.
O IAP funciona com outras Google Cloud ofertas, incluindo o ambiente padrão do App Engine, o Compute Engine e o Google Kubernetes Engine.
Como configurar os níveis de acesso
Ao acessar os recursos da Web que o IAP sabe, os usuários precisam fazer login com as credenciais do serviço de identidade do Google (como o Gmail ou o endereço de e-mail do Google) ou um LDAP registrado com um serviço de diretório LDAP sincronizado com o serviço de identidade do Google. Se o usuário estiver autorizado, o IAP encaminhará a solicitação ao servidor da Web junto com os dados do cabeçalho que inclui a identidade do usuário.
Figura 1. Como controlar o acesso dos usuários aos recursos da Web por trás do IAP.
No console do Cloud, é possível configurar o IAP para simplesmente impedir
que usuários não autorizados acessem um determinado recurso.
Clique em Adicionar principal e adicione os endereços de e-mail de grupos
ou indivíduos a quem você quer conceder o papel
usuário do app da Web protegido pelo IAP no projeto.
A tabela abaixo lista alguns cenários de acesso comuns e o principal para conceder acesso a cada um deles.
Nível de acesso
Exemplo de recurso da Web
Exemplo de principal
Acesso público e aberto
Site público da empresa.
allUsers
Acesso autenticado pelo usuário
Site para enviar tíquetes de suporte.
allAuthenticatedUsers
Acesso restrito aos funcionários
Aplicativo em execução na intranet da empresa.
bigcorpltd.com, contractors@bigcorpltd.com
Acesso altamente confidencial, restrito ao dispositivo e ao funcionário
App com acesso a informações particulares de clientes.
customer.support@bigcorpltd.com
Observação: esse nível de acesso requer a adição de informações
de restrição por meio do Access Context Manager, como atributos de política de dispositivo ou sub-redes IP permitidas. Os usuários
também precisam ter perfis de trabalho no dispositivo móvel ou uma extensão do Chrome
configurada no navegador.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[],[],null,["# Controlling access to websites and apps\n\nTo secure your web resources in a simple-to-manage, scalable, and granular way,\nGoogle Cloud offers [context-aware access](/context-aware-access/docs/overview)\nvia [Identity-Aware Proxy](/iap) (IAP). IAP is designed to\nenforce the [BeyondCorp](/beyondcorp) security model,\nwhich establishes a zero-trust perimeter on the public internet for secure,\nremote work without the need for a traditional VPN.\n\nYou can allow secure access to your websites or web apps for users located\nanywhere or on any device by using IAP to control granular\nrestrictions. Access control can be configured based on the user's identity and\ncontext of their request without making additional site changes. You can also\ncentrally define and enforce access policies across multiple apps and\nsites, including\n[IAM policies with conditional binding](/iap/docs/cloud-iap-context-aware-access-howto).\nIAP works with other Google Cloud offerings including [App Engine standard environment](/iap/docs/authenticate-users-google-accounts), [Compute Engine](/iap/docs/enabling-compute-howto), and [Google Kubernetes Engine](/iap/docs/enabling-kubernetes-howto).\n\nConfiguring your access levels\n------------------------------\n\nWhen accessing web resources that IAP knows about, users need to log in with their Google identity service credentials (for example, their Gmail or Google Workspace email address) or an LDAP registered with an LDAP directory service that's synchronized with the Google identity service. If the user is authorized, IAP forwards their request to the web server along with header data that includes the user's identity.\n\n**Figure 1.** Controlling user access to web resources behind IAP.\n\nIn the Cloud console, you can configure IAP to simply block\nunauthorized users from accessing a given resource.\n\nTo do so for a resource on App Engine:\n\n1. Open the [Identity-Aware Proxy page](https://console.cloud.google.com/security/iap) in your active project.\n2. Select the resource you want to modify.\n3. Click **Add Principal** and add the email addresses of groups\n or individuals to whom you want to grant the\n **IAP-secured Web App User** role for the project.\n\n The table below lists some common access scenarios and\n the principal to grant access to for each scenario.\n\n4. Click **Add** to save your changes.\n\nNext steps\n----------\n\n- Get started by familiarizing yourself with [IAP concepts](/iap/docs/concepts-overview) and following the [quickstarts](/iap/docs/quickstarts).\n- Learn more by viewing these introductory videos:\n - [BeyondCorp in a bottle](https://www.youtube.com/watch?v=TtmsV-xq0r0)\n - [Centralize access to your organization's websites with Identity-Aware Proxy](https://youtu.be/xM9-FSU5MoY)\n- Check out these tutorials for using IAP with [App Engine standard environment](/iap/docs/authenticate-users-google-accounts), [Compute Engine](/iap/docs/enabling-compute-howto), [Google Kubernetes Engine](/iap/docs/enabling-kubernetes-howto), and [on-premises apps](/iap/docs/enabling-on-prem-howto)."]]
