share facebook facebook twitter menu hatena pocket slack

2020.06.22 MON

GCPのIAP Desktopを試してみた。これ便利ですね。

工藤 淳

WRITTEN BY 工藤 淳

はじめに

GCPのインスタンスに外部からゼロトラストなアクセスできるリモートデスクトップクライアントが公開されたので試してみました。
https://cloud.google.com/blog/products/identity-security/zero-trust-remote-access-for-windows-vms

接続先の環境としてはプロジェクト demo にインスタンスが一台あるだけです。

最初にGCPの設定から見ていきます。

GCP側に設定

GCP側の設定として、最初に Identitiy-Aware Proxy を有効化します。
(オーナーだけならは有効化しなくても接続できました)


次にクライアントをインストールします。

IAP Desktopのインストール

下記よりダウンロードしてインストールします。

https://github.com/GoogleCloudPlatform/iap-desktop

Windowsのみ用意されています。

接続する

起動後にログインします。

アクセス権を求められるので許可します。

プロジェクトIDを入力します。プロジェクト名では接続できませんでした。

ちょっとサイズが合っていないためOK?が見えない状態です。

表示されることを確認します。

対象のインスタンスをダブルクリックするか右クリック->Connectを選択します。

3つ選択できるので確認していきます。

Configure credentials

接続情報の設定できるようです。

Generate new credentials

新規に接続情報作成します。
ここで入力した情報にアップデートされるようです。共通ユーザでログインしている場合は注意が必要ですね。

Connect anyway

ユーザー、パスワードを聞かれます。接続情報は保存されません。

接続確認

接続するとWindowsにログインされアクセスできることが確認できます。

アクセス制限

アクセス権のないユーザーで接続しようとするとIAP APIを有効にしてIAPで保護されたトンネルユーザーを追加してくださいと表示されます。

IAMからユーザーを追加します。

もしくはIAPからユーザーを追加します。

以上の設定でアクセスできるようになります。

まとめ

運用者がコンソールにログインしなくても接続が非常に簡単にできるようになります。管理者がVMの接続管理をコンソールから管理できたり、外部IPを持たなくても接続できたり、運用管理には非常に強力なツールになると思います。数台ならVDIっぽくも使えるようにもできるのではないかと思いました。

元記事はこちら

GCPのIAP Desktopを試してみた。これ便利ですね。

工藤 淳

工藤 淳

cloudpack事業部の本屋ではございません。エンジニアとしてAWSでシステム構築を主に行っています。 個人的に「クラウドっておもしれー」をコンセプトに様々なクラウドを取り扱っています。 また、クラウド、セキュリティ、オープンソース系の勉強会では登壇、スタッフ業に勤しんでいます。

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。