Se usó la API de Cloud Translation para traducir esta página.

Prácticas recomendadas

En esta página, se describen las prácticas recomendadas para usar Identity-Aware Proxy (IAP).

Almacenamiento en caché

No utilices una CDN de terceros delante de tu aplicación. Las CDN pueden almacenar en caché contenido y entregar páginas almacenadas en caché a usuarios no autenticados.
- Si tienes recursos grandes y no confidenciales que deseas entregar desde una CDN, usa un dominio independiente como images.yourapp.com para estos recursos. Usa la CDN con ese dominio y agrega el encabezado de respuesta HTTP Cache-control: private a todos los objetos que solo se tengan que entregar a los usuarios autenticados.

Para proteger correctamente tu aplicación, debes usar encabezados firmados en el entorno estándar de App Engine, Compute Engine y las aplicaciones de GKE.

Asegúrate de que todas las solicitudes para Compute Engine o GKE se enruten a través del balanceador de cargas:
- Configura una regla de firewall para permitir verificaciones de estado y asegúrate de que todo el tráfico que recibe tu máquina virtual (VM) provenga de una IP de Google Front End (GFE).
- Si deseas más protección, verifica la IP de origen de las solicitudes de tu aplicación para asegurarte de que correspondan al mismo rango de IP que permite la regla de firewall.
En la Google Cloud consola, IAP muestra un error o una advertencia si las reglas de firewall parecen estar configuradas incorrectamente. La consola de IAP Google Cloud no detecta qué VM se usa para cada servicio, por lo que el análisis de firewall no incluye funciones avanzadas, como redes no predeterminadas ni etiquetas de reglas de firewall. Para omitir este análisis, habilita IAP con el comando gcloud compute backend-services update.