Google Cloud 透過 Identity-Aware Proxy (IAP) 提供情境感知存取權,以便以簡單易管、可擴充且精細的方式保護您的網路資源。IAP 的設計目的是強制執行 BeyondCorp 安全性模式,在公開網際網路上建立零信任邊界,讓使用者不必使用傳統 VPN,也能安全地進行遠端工作。
您可以使用 IAP 控管精細的限制,讓任何地點或裝置的使用者都能安全存取您的網站或網頁應用程式。您可以根據使用者的身分和要求內容設定存取權控管機制,而不需要再對網站進行其他變更。您也可以集中定義及強制執行多個應用程式和網站的存取權政策,包括含有條件式繫結的 IAM 政策。IAP 可搭配其他 Google Cloud 產品使用,包括 App Engine 標準環境、Compute Engine 和 Google Kubernetes Engine。
設定存取層級
使用者存取 IAP 知道的網頁資源時,必須使用 Google 身分識別服務憑證 (例如 Gmail 或 Google Workspace 電子郵件地址) 或已註冊至與 Google 身分識別服務同步的 LDAP 目錄服務的 LDAP 登入。如果使用者已獲得授權,IAP 會將要求和包含使用者身分的標頭資料轉送至網頁伺服器。
圖 1. 控管使用者對 IAP 後方網頁資源的存取權。
您可以在 Cloud 控制台中設定 IAP,只阻擋未經授權的使用者存取特定資源。
如要為 App Engine 上的資源執行這項操作,請按照下列步驟操作:
- 在進行中的專案中開啟「Identity-Aware Proxy」頁面。
- 選取要修改的資源。
按一下「Add Principal」(新增管理員),然後新增群組或個別使用者的電子郵件地址,您會想要針對專案為其授予「IAP-secured Web App User」(受 IAP 保護的網路應用程式使用者) 角色。
下表列出一些常見的存取情境,以及每個情境中授予存取權的實體。
存取層級 網路資源範例 Principal 範例 開放式公開存取 公司公開網站。 allUsers使用者驗證存取權 提交支援單的網站。 allAuthenticatedUsers員工存取權受限 在公司內部網路上執行的應用程式。 bigcorpltd.com、contractors@bigcorpltd.com高度敏感的裝置和員工存取權限限制 可存取客戶私人資訊的應用程式。 customer.support@bigcorpltd.com注意:這個存取層級需要透過 Access Context Manager 新增限制資訊,例如裝置政策屬性或允許的 IP 子網路。使用者也必須在行動裝置上設定工作資料夾,或在瀏覽器中設定 Chrome 擴充功能。
- 按一下 [新增] 即可儲存變更。
後續步驟
- 請先熟悉 IAP 概念,並按照快速入門指南操作。
- 請觀看以下入門影片,進一步瞭解相關資訊:
- 請參閱這些教學課程,瞭解如何在 App Engine 標準環境、Compute Engine、Google Kubernetes Engine 和內部部署應用程式中使用 IAP。