Esta página descreve as práticas recomendadas para usar o Identity-Aware Proxy (IAP).
A colocar em cache
- Não use uma RFC de terceiros à frente da sua aplicação. As RFCs podem colocar em cache conteúdo e publicar páginas em cache para utilizadores não autenticados.
- Se tiver recursos grandes e não confidenciais que quer publicar a partir de uma
RFC, use um domínio separado, como
images.yourapp.com, para estes recursos. Use a RFC com esse domínio e adicione o cabeçalho de resposta HTTPCache-control: privatea todos os objetos que só devem ser publicados para utilizadores autenticados.
- Se tiver recursos grandes e não confidenciais que quer publicar a partir de uma
RFC, use um domínio separado, como
Proteger a sua app
Para proteger corretamente a sua app, tem de usar cabeçalhos assinados para o ambiente padrão do App Engine, o Compute Engine e as aplicações GKE.
Configurar a firewall
-
Certifique-se de que todos os pedidos ao Compute Engine ou ao GKE são encaminhados através do balanceador de carga:
- Configure uma regra de firewall para permitir a verificação do estado e certifique-se de que todo o tráfego para a sua máquina virtual (VM) é proveniente de um IP do Google Front End (GFE).
- Para proteção adicional, verifique o IP de origem dos pedidos na sua app para se certificar de que são provenientes do mesmo intervalo de IP que a regra da firewall permite.
-
Na Google Cloud consola, o IAP apresenta um erro ou um aviso se as regras da firewall
parecerem estar configuradas incorretamente. A consola do IAP Google Cloud não
deteta que VM é usada para cada serviço, pelo que a análise da firewall não inclui funcionalidades
avançadas, como redes não predefinidas e etiquetas de regras de firewall. Para ignorar esta análise, ative as
compras na app através do comando
gcloud compute backend-services update.