Cette page a été traduite par l'API Cloud Translation.

Activer l'IAP pour Cloud Run

Il existe deux façons d'activer IAP pour vos services Cloud Run : directement sur un service Cloud Run ou sur le service de backend qui fait face aux services Cloud Run.

Nous vous recommandons d'activer IAP directement sur Cloud Run. Cela protège le point de terminaison run.app et, si vous configurez un équilibreur de charge, le point de terminaison de l'équilibreur de charge également.

Si vous avez besoin d'une gestion des accès centralisée ou si vous souhaitez acheminer le trafic vers plusieurs régions, suivez les procédures ci-dessous.

Cette page explique comment sécuriser un service Cloud Run avec IAP à partir d'un service de backend ou d'un équilibreur de charge. Si vous exécutez Cloud Run dans plusieurs régions associées au même service de backend global de l'équilibreur de charge, suivez les instructions de cette page pour configurer IAP une seule fois pour le service de backend.

Limitations connues

Lorsque vous activez IAP sur un équilibreur de charge, IAP sécurise le trafic uniquement via l'équilibreur de charge et non avec le trafic qui peut atteindre le service Cloud Run via son URL run.app. Pour n'autoriser que le trafic autorisé par IAP, consultez Configurer Cloud Run pour limiter l'accès.
IAP s'authentifie auprès de Cloud Run à l'aide de l'en-tête X-Serverless-Authorization. Cloud Run transmet cet en-tête à votre service après avoir supprimé sa signature. Si votre service est conçu pour transférer la requête vers un autre service Cloud Run nécessitant une authentification IAM, mettez à jour votre service pour supprimer d'abord cet en-tête.
IAP n'est pas compatible avec Cloud CDN.
L'IAP augmente la latence. N'activez IAP que pour les instances qui ne sont pas sensibles à la latence.

Avant de commencer

Pour activer IAP pour les ressources Cloud Run dans IAP, vous avez besoin des éléments suivants :

Un projet de la console Google Cloud avec la facturation activée.
Un groupe d'un ou plusieurs services Cloud Run desservis par un équilibreur de charge.
- Découvrez comment configurer un équilibreur de charge HTTPS externe.
- Découvrez comment configurer un équilibreur de charge HTTPS interne.
- Un nom de domaine enregistré à l'adresse de votre équilibreur de charge
Un code d'application pour vérifier que toutes les requêtes ont une identité
- Découvrez comment obtenir l'identité de l'utilisateur.

IAP utilise un client OAuth géré par Google pour authentifier les utilisateurs. Seuls les utilisateurs de l'organisation peuvent accéder à l'application compatible avec les achats via l'application. Si vous souhaitez autoriser l'accès à des utilisateurs extérieurs à votre organisation, consultez Activer IAP pour les applications externes.

Activer IAP à partir d'un service de backend ou d'un équilibreur de charge

Pour activer IAP à partir d'IAP derrière un service de backend ou un équilibreur de charge, suivez les instructions ci-dessous.

Console

Le client OAuth géré par Google n'est pas disponible lorsque vous activez IAP à l'aide de la console Google Cloud .

Si vous n'avez pas configuré l'écran d'autorisation OAuth de votre projet, vous êtes invité à le faire. Pour configurer votre écran d'autorisation OAuth, consultez Configurer votre écran d'autorisation OAuth.

Configurer l'accès à IAP

Accédez à la page Identity-Aware Proxy.
Sélectionnez le projet que vous souhaitez sécuriser avec IAP.
Sous APPLICATIONS, cochez la case à côté du service de backend de l'équilibreur de charge auquel vous souhaitez ajouter des membres.
Dans le panneau de droite, cliquez sur Ajouter un compte principal.
Dans la boîte de dialogue Ajouter un compte principal, saisissez les comptes des groupes ou des personnes auxquels vous souhaitez accorder le rôle Utilisateur de l'application Web sécurisée par IAP pour le projet. Les types de comptes suivants peuvent être ajoutés en tant que membres :
- Compte Google : utilisateur@gmail.com. Il peut également s'agir d'un compte Google Workspace, tel que utilisateur@google.com ou un autre domaine Workspace.
- Groupe Google : admins@googlegroups.com
- Compte de service : server@example.iam.gserviceaccount.com
- Domaine Google Workspace : example.com
Sélectionnez Cloud IAP > Utilisateur de l'application Web sécurisée par IAP dans la liste déroulante Rôles.
Cliquez sur Enregistrer.

Activer IAP

Sur la page IAP, sous APPLICATIONS, recherchez le service de backend de l'équilibreur de charge auquel vous souhaitez restreindre l'accès. Pour activer IAP pour une ressource, cliquez sur le bouton IAP. Pour activer IAP :
- Au moins un protocole de la configuration de l'interface d'équilibrage de charge doit correspondre à HTTPS. En savoir plus sur la configuration d'un équilibreur de charge
- Vous avez besoin des autorisations compute.backendServices.update, clientauthconfig.clients.create et clientauthconfig.clients.getWithSecret. Ces autorisations sont accordées par des rôles (par exemple, Éditeur de projet). Pour en savoir plus, consultez Gérer l'accès aux ressources sécurisées par IAP.
Dans la fenêtre Activer IAP qui s'affiche, cliquez sur Activer pour confirmer que vous souhaitez qu'IAP sécurise votre ressource. Une fois IAP activé, des identifiants de connexion sont requis pour toutes les connexions à votre équilibreur de charge. Seuls les comptes disposant du rôle Utilisateur de l'application Web sécurisée par IAP sur le projet y ont accès.
Suivez les instructions de la section Contrôle des accès avec IAM pour autoriser IAP à envoyer du trafic au service Cloud Run de backend.
- Principal : service-[PROJECT-NUMBER]@gcp-sa-iap.
- Rôle : Demandeur Cloud Run
Le compte de service IAP est créé lorsque IAP est activé. Si le compte de service IAP ne figure pas dans la liste des principaux, vous pouvez le créer en exécutant la commande gcloud suivante :
```
gcloud beta services identity create
    --service=iap.googleapis.com
    --project=PROJECT_ID
```

gcloud

Si vous ne l'avez pas encore fait dans le projet, créez l'agent de service IAP en exécutant la commande suivante. Si vous avez déjà créé l'agent de service, l'exécution de la commande ne le duplique pas.
```
gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
```

Accordez à l'appelant l'autorisation d'accéder au compte de service créé à l'étape précédente en exécutant la commande suivante.

gcloud run services add-iam-policy-binding [SERVICE-NAME] \
--member='serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.'  \
--role='roles/run.invoker'

Activez IAP en exécutant la commande à portée globale ou régionale, selon que le service de backend de votre équilibreur de charge est global ou régional. Utilisez l'ID client et le code secret OAuth de l'étape précédente.

Champ d'application global
```
gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
```
Champ d'application régional
```
gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
```
Remplacez les éléments suivants :
- BACKEND_SERVICE_NAME : nom du service de backend.
- REGION_NAME : région dans laquelle vous souhaitez activer IAP.

Une fois que vous avez activé IAP, vous pouvez modifier une stratégie d'accès IAP à l'aide du rôle Identity and Access Management roles/iap.httpsResourceAccessor via Google Cloud CLI. Pour en savoir plus, consultez Gérer l'accès aux ressources sécurisées par IAP.

Terraform

Si vous ne l'avez pas déjà fait, créez l'agent de service IAP dans un projet en exécutant la commande suivante. Si vous avez déjà créé l'agent de service, l'exécution de la commande ne le duplique pas.
```
resource "google_project_service" "project" {
  project = "your-project-id"
  service = "iap.googleapis.com"
}
```

Accordez l'autorisation d'appel à l'agent de service créé à l'étape précédente en exécutant la commande suivante.

resource "google_cloud_run_service_iam_binding" "binding" {
  location = google_cloud_run_v2_service.default.location
  service  = google_cloud_run_v2_service.default.name
  role = "roles/run.invoker"
  members = [
    "serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com",
  ]
}

Activez IAP en exécutant la commande globale ou régionale en fonction de votre équilibreur de charge. Utilisez l'ID client et le code secret OAuth de l'étape précédente.

Champ d'application global

resource "google_compute_backend_service" "default" {
  name                  = "tf-test-backend-service-external"
  protocol              = "HTTPS"
  load_balancing_scheme = "EXTERNAL_MANAGED"
  iap {
    enabled              = true
    oauth2_client_id     = "abc"
    oauth2_client_secret = "xyz"
  }
}

Champ d'application régional

resource "google_compute_region_backend_service" "default" {
  name                  = "tf-test-backend-service-external"
  protocol              = "HTTPS"
  load_balancing_scheme = "EXTERNAL_MANAGED"
  iap {
    enabled              = true
    oauth2_client_id     = "abc"
    oauth2_client_secret = "xyz"
  }
}

Configurer Cloud Run pour limiter l'accès

Pour empêcher le trafic de transiter par l'URL run.app par défaut d'un service Cloud Run, désactivez l'URL par défaut. Sinon, configurez vos paramètres d'entrée pour restreindre l'entrée réseau pour Cloud Run.

Résoudre les erreurs

Autorisation refusée pour accéder à Cloud Run

 Your client does not have permission to get URL from this server

IAP utilise les autorisations du compte de service IAP pour appeler votre service Cloud Run. Assurez-vous d'avoir attribué le rôle Demandeur Cloud Run au compte de service suivant : service-[PROJECT-NUMBER]@gcp-sa-iap..
Si vous avez attribué le rôle Demandeur Cloud Run au compte de service précédent et que le problème persiste, redéployez votre service Cloud Run.

L'échec de l'agent de service entraîne une erreur IAM

L'activation d'IAP sur un nouveau projet pour la première fois peut entraîner l'erreur suivante :

Setting IAM permissions failed

Cela est dû à un échec de l'agent de service Cloud Run. Pour résoudre le problème, réactivez IAP ou définissez manuellement la stratégie IAM.

Impossible de configurer IAP avec la gcloud CLI

 The IAP service account is not provisioned

Si cette erreur s'affiche, exécutez la commande suivante :

gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]

Le compte de service IAP n'a pas besoin de l'autorisation `run.routes.invoke`

Pendant la version Preview d'IAP avec Cloud Run, Cloud Run n'a pas effectué la vérification des autorisations run.routes.invoke pour les appels depuis IAP qui utilisent le rôle Demandeur Cloud Run. Avec la disponibilité générale (DG), Cloud Run effectue cette vérification des autorisations.

Pour éviter les changements cassants, certains projets clients qui dépendaient de ce comportement pendant la version Preview ont été placés sur une liste d'autorisation afin que l'autorisation ne soit pas vérifiée. Contactez l'assistance Cloud Run pour supprimer ces projets de la liste d'autorisation "Aperçu uniquement".

Étapes suivantes

Pour vous aider à configurer IAP pour Cloud Run avec Terraform, consultez cet exemple de code Terraform.

Activer l'IAP pour Cloud Run Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.