CursosEmpresasBlogLiveConfPrecios

Identity Access Proxy

Clase 22 de 29Curso de Google App Engine

Contenido del curso

Tomar examen
Resumen

Fortalece la seguridad de tu aplicación en App Engine con capas de acceso simples y efectivas usando Identity Aware Proxy (IAP). A diferencia de las Firewall Rules, IAP opera a nivel de aplicación y se integra con el servicio de autenticación de Google para permitir o restringir acceso por correos y grupos de Gmail, incluso en otros productos de Google Cloud Platform.

¿Qué es Identity Aware Proxy y por qué usarlo?

IAP es un servicio que filtra el acceso antes de llegar a tu aplicación. En lugar de trabajar por sectores de red o IP como las Firewall Rules, controla quién entra usando el login de Google. Puedes autorizar cuentas o grupos y bloquear el resto.

  • Funciona en App Engine y en más productos de Google Cloud Platform.
  • Usa Google Sign-in para autenticar usuarios.
  • Verifica permisos con Cloud IAM antes de permitir acceso.
  • Simplifica el control: otorgas acceso a correos específicos o grupos.
  • Permite denegar por defecto y abrir solo a quienes elijas.

¿Cómo se activa IAP en Google Cloud Platform paso a paso?

Activarlo toma pocos clics y cambia de raíz cómo administras el acceso: por identidad, no por red. Así, solo quienes estén en tu lista podrán ver la aplicación.

¿Dónde encontrar IAP en la consola?

  • Entra a la consola de Google Cloud Platform y elige tu proyecto de App Engine.
  • Abre Productos y ve a la sección de Security.
  • Si no lo ves de inmediato, búscalo entre herramientas de desarrollo cerca de Endpoints, Data y Caching.
  • Entra a Identity Aware Proxy.

¿Qué cuentas o grupos añadir?

  • Selecciona el recurso detectado automáticamente por IAP.
  • Agrega los correos o grupos de Gmail que tendrán acceso.
  • Define en qué URLs se activará IAP.
  • Haz clic en Activar y espera unos segundos.

¿Cómo verificar el acceso?

  • Intenta entrar con una cuenta distinta a la autorizada: verás acceso denegado.
  • Abre una ventana en incógnito y pega la misma URL.
  • Inicia sesión con la cuenta autorizada mediante Google Sign-in.
  • Si Cloud IAM valida tus permisos, podrás usar la aplicación.

¿Cómo funciona el flujo de autenticación con Google Sign-in e IAM?

IAP actúa como guardián antes de tu backend. El usuario primero enfrenta a Cloud IAP, luego se autentica con Google Sign-in. Después, Cloud IAM comprueba si esa identidad tiene autorización para el recurso protegido. Si la tiene, el acceso procede; si no, se bloquea.

  • Usuario solicita acceso a la aplicación.
  • Cloud IAP exige autenticación con Google Sign-in.
  • Cloud IAM verifica permisos del usuario autenticado.
  • Con permisos válidos, se permite el uso de la aplicación.

En conjunto, estas herramientas de seguridad de App Engine te ayudan a proteger mejor tu aplicación. No son obligatorias, pero sí recomendables para mantener el acceso bajo control a nivel de correos y grupos.

¿Tienes dudas sobre la configuración o casos de uso con IAP y App Engine? Cuéntalo en los comentarios y comparte cómo gestionas el acceso en tu equipo.