GCPのIAP Desktopを試してみた。これ便利ですね。

はじめに

GCPのインスタンスに外部からセロトラストなアクセスできるリモートデスクトップクライアントが公開されたので試してみました。

接続先の環境としてはプロジェクト demo にインスタンスが一台あるだけです。

最初にGCPの設定から見ていきます。

GCP側に設定

GCP側の設定として、最初に Identitiy-Aware Proxy を有効化します。
(オーナーだけならは有効化しなくても接続できました)

次にクライアントをインストールします。

IAP Desktopのインストール

下記よりダウンロードしてインストールします。

Windowsのみ用意されています。

接続する

起動後にログインします。

アクセス権を求められるので許可します。

プロジェクトIDを入力します。プロジェクト名では接続できませんでした。

ちょっとサイズが合っていないためOK?が見えない状態です。

表示されることを確認します。

対象のインスタンスをダブルクリックするか右クリック->Connectを選択します。

3つ選択できるので確認していきます。

Configure credentials

接続情報の設定できるようです。

Generate new credentials

新規に接続情報作成します。
ここで入力した情報にアップデートされるようです。共通ユーザでログインしている場合は注意が必要ですね。

Connect anyway

ユーザー、パスワードを聞かれます。接続情報は保存されません。

接続確認

接続するとWindowsにログインされアクセスできることが確認できます。

アクセス制限

アクセス権のないユーザーで接続しようとするとIAP APIを有効にしてIAPで保護されたトンネルユーザーを追加してくださいと表示されます。

IAMからユーザーを追加します。

もしくはIAPからユーザーを追加します。

以上の設定でアクセスできるようになります。

まとめ

運用者がコンソールにログインしなくても接続が非常に簡単にできるようになります。管理者がVMの接続管理をコンソールから管理できたり、外部IPを持たなくても接続できたり、運用管理には非常に強力なツールになると思います。数台ならVDIっぽくも使えるようにもできるのではないかと思いました。