Chargement...
Aucun résultat.

Mettez en pratique vos compétences dans la console Google Cloud

Instructions et exigences de configuration de l'atelier
Protégez votre compte et votre progression. Utilisez toujours une fenêtre de navigation privée et les identifiants de l'atelier pour exécuter cet atelier.

Sécuriser des machines virtuelles avec Chrome Enterprise Premium

Atelier 30 minutes universal_currency_alt 5 crédits show_chart Intermédiaire
info Cet atelier peut intégrer des outils d'IA pour vous accompagner dans votre apprentissage.
Ce contenu n'est pas encore optimisé pour les appareils mobiles.
Pour une expérience optimale, veuillez accéder à notre site sur un ordinateur de bureau en utilisant un lien envoyé par e-mail.

GSP1036

Logo des ateliers d'auto-formation Google Cloud

Présentation

Dans cet atelier, vous allez apprendre à utiliser Chrome Enterprise Premium et le transfert TCP Identity-Aware Proxy (IAP) pour activer l'accès administrateur aux instances de VM qui n'ont pas d'adresse IP externe ou ne permettent pas un accès direct à Internet.

Points abordés

  • Activer le transfert TCP IAP dans votre projet Google Cloud
  • Tester la connectivité à vos instances Linux et Windows
  • Configurer les règles de pare-feu requises pour BCE
  • Accorder des autorisations pour l'utilisation du transfert TCP IAP
  • Mettre en place la tunnelisation à l'aide des connexions SSH et RDP

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

  • Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).
Remarque : Ouvrez une fenêtre de navigateur en mode incognito (recommandé) ou de navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.
  • Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Remarque : Utilisez uniquement le compte de participant pour cet atelier. Si vous utilisez un autre compte Google Cloud, des frais peuvent être facturés à ce compte.

Démarrer l'atelier et se connecter à la console Google Cloud

  1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

    • Le bouton "Ouvrir la console Google Cloud"
    • Le temps restant
    • Les identifiants temporaires que vous devez utiliser pour cet atelier
    • Des informations complémentaires vous permettant d'effectuer l'atelier

  2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

    L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

    Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

    Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

  3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

    {{{user_0.username | "Username"}}}

    Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

  4. Cliquez sur Suivant.

  5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

    {{{user_0.password | "Password"}}}

    Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

  6. Cliquez sur Suivant.

    Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

  7. Accédez aux pages suivantes :

    • Acceptez les conditions d'utilisation.
    • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
    • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche. Icône du menu de navigation et champ de recherche

Vous devez disposer d'un client RDP préinstallé qui vous servira à connecter et tester vos instances Windows.

Tâche 1 : Activer le transfert TCP IAP dans votre projet Google Cloud

  1. Ouvrez le menu de navigation et sélectionnez API et services > Bibliothèque.

  2. Recherchez IAP et sélectionnez API Cloud Identity-Aware Proxy.

  3. Cliquez sur Activer.

API Cloud Identity-Aware Proxy

Tâche 2 : Créer des instances Linux et Windows

Créez trois instances pour cet atelier : - Deux à titre de démonstration (Linux et Windows) - Une pour tester la connectivité (Windows)

Instance Linux

  1. Ouvrez le menu de navigation et sélectionnez Compute Engine > Instances de VM.

  2. Cliquez sur Créer une instance.

  3. Dans la section Configuration de la machine :

    Sélectionnez les valeurs suivantes :

    • Nom : linux-iap
    • Zone :

  4. Cliquez sur Mise en réseau.

    Dans la section Interfaces réseau, cliquez sur le réseau par défaut du menu déroulant pour le modifier. Ensuite, remplacez l'adresse IPV4 externe par Aucune.

  5. Cliquez sur OK.

    Interface réseau remplie

  6. Ensuite, cliquez sur Créer. Cette VM sera appelée linux-iap.

Instances Windows

  1. Pour créer la VM de démonstration Windows, cliquez sur Créer une instance.

  2. Dans la section Configuration de la machine :

    Sélectionnez les valeurs suivantes :

    • Nom : windows-iap
    • Zone :

  3. Cliquez sur la section OS et stockage.

    Cliquez sur Modifier pour commencer à configurer le disque de démarrage et sélectionnez les valeurs suivantes :

    • Images publiques > Système d'exploitation > Windows Server
    • Version > Windows Server 2016 Datacenter

    Sélection de la version Windows

    Cliquez sur Sélectionner.

  4. Cliquez sur Mise en réseau.

    Dans la section Interfaces réseau, cliquez sur le réseau par défaut du menu déroulant pour le modifier. Ensuite, remplacez l'adresse IPV4 externe par Aucune. Cliquez sur OK.

  5. Ensuite, cliquez sur Créer. Cette VM sera appelée windows-iap.

  6. Pour créer la VM de connectivité Windows, cliquez sur Créer une instance.

  7. Dans la section Configuration de la machine :

    Sélectionnez les valeurs suivantes :

    • Nom : windows-connectivity
    • Zone :

  8. Cliquez sur la section OS et stockage, puis sur Modifier.

    Pour l'OS, définissez les valeurs suivantes dans l'onglet Images personnalisées :

    • Projet source pour les images : Qwiklabs Resources
    • Image : iap-desktop-v001

    Cliquez sur Sélectionner.

  9. Cliquez sur Sécurité.

    Dans la section Niveaux d'accès, sélectionnez Autoriser l'accès complet à l'ensemble des API Cloud.

    Ne désactivez pas l'adresse IP externe pour cette instance.

  10. Ensuite, cliquez sur Créer. Cette VM sera appelée windows-connectivity.

Vérifier que les trois instances ont bien été créées.

Tâche 3 : Tester la connectivité à vos instances Linux et Windows

  1. Maintenant que les instances sont créées, vous allez tester l'accès à linux-iap et windows-iap afin de confirmer qu'il est impossible d'y accéder sans adresse IP externe.

  2. Pour l'instance linux-iap, cliquez sur le bouton SSH pour accéder à la machine et vérifiez que vous recevez un message semblable à celui-ci :

    Échec de la connexion Linux

Remarque : Il est possible que le bouton SSH reste cliquable sur la page de la liste des VM, même si l'adresse IPv4 externe est définie sur "Aucune". Pour vérifier que l'instance ne possède pas d'adresse IP externe, cliquez sur son nom, puis pointez sur le bouton SSH sur la page de détails. Le message suivant s'affiche : Cette instance n'a pas d'adresse IP externe.

  1. Pour l'instance windows-iap, cliquez sur le bouton RDP et vérifiez que vous recevez un message semblable à celui-ci :

    Échec de la connexion Windows

Lors des prochaines étapes de configuration et d'utilisation d'IAP, vous pourrez vous connecter aux instances sans adresse IP externe.

Tâche 4 : Configurer les règles de pare-feu requises pour BCE

  1. Ouvrez le menu de navigation, sélectionnez Réseau VPC > Pare-feu, puis cliquez sur Créer une règle de pare-feu.

  2. Configurez les paramètres suivants :

Champ Paramètre
Nom allow-ingress-from-iap
Sens du trafic Entrée
Cible Toutes les instances du réseau
Filtre source Plages IPv4
Plages IPv4 sources 35.235.240.0/20
Protocoles et ports Sélectionnez TCP et saisissez 22 et 3389 pour autoriser respectivement SSH et RDP.
  1. Cliquez sur CRÉER pour créer la règle de pare-feu.
Vérifier que les règles de pare-feu ont bien été créées.

Tâche 5 : Accorder des autorisations pour l'utilisation du transfert TCP IAP

Suivez ces étapes pour configurer le rôle iap.tunnelResourceAccessor pour chaque VM.

  1. Ouvrez le menu de navigation, sélectionnez Sécurité > Identity-Aware Proxy et accédez à l'onglet Ressources SSH et TCP (vous pouvez ignorer l'écran de consentement OAuth dans la section HTTPS).
  2. Sélectionnez les instances de VM linux-iap et windows-iap.
  3. Cliquez sur Ajouter un compte principal, puis saisissez le compte de service associé à votre VM de connectivité Windows. Il doit se présenter sous la forme -compute@developer.gserviceaccount.com.
  4. Définissez le rôle en sélectionnant Cloud IAP > Utilisateur de tunnels sécurisés par IAP.
  5. Cliquez sur ENREGISTRER.
  6. En haut à droite de la page, cliquez sur l'icône "S" pour ouvrir votre profil et copier l'adresse e-mail du compte étudiant.
  7. Cliquez à nouveau sur Ajouter un compte principal pour ajouter votre compte étudiant.
  8. Saisissez le compte étudiant. Vous pouvez copier cette valeur depuis le volet "Détails concernant l'atelier".
  9. Définissez le rôle en sélectionnant Cloud IAP > Utilisateur de tunnels sécurisés par IAP.
  10. Cliquez sur ENREGISTRER.
Le rôle d'utilisateur de tunnels sécurisés par IAP permet à l'instance windows-connectivity de se connecter aux ressources à l'aide d'IAP. Le compte étudiant vous servira à vérifier que cette étape s'est déroulée correctement.

Ajouter des comptes principaux

Vérifier que les rôles IAM ont bien été définis pour le compte de service

Tâche 6 : Utiliser IAP Desktop pour se connecter aux instances Windows et Linux

Il est possible d'utiliser IAP Desktop pour se connecter aux instances par le biais de l'interface utilisateur graphique d'une instance équipée d'un bureau Windows. Pour en savoir plus sur IAP Desktop, consultez la page du dépôt GitHub où est hébergé l'outil téléchargeable.

Suivez ces étapes pour vous connecter aux instances de cet atelier à l'aide d'IAP Desktop :

  1. Établissez la connexion RDP à l'instance windows-connectivity en téléchargeant le fichier RDP. Accédez à la page Compute Engine > Instances de VM. Sur la page de destination Compute Engine, cliquez sur la flèche vers le bas à côté de l'instance windows-connectivity et téléchargez le fichier.

  2. Ouvrez le fichier RDP pour vous connecter l'instance via Remote Desktop Protocol. Utilisez les identifiants ci-dessous pour vous connecter à l'instance lorsque vous y êtes invité :

    • Nom d'utilisateur : student
    • Mot de passe : Learn123!

  3. Une fois connecté à l'instance windows-connectivity, recherchez l'application IAP Desktop et ouvrez-la sur le bureau de l'instance.

  4. Dans l'application, cliquez sur le bouton "Se connecter avec Google" pour vous connecter. Utilisez le nom d'utilisateur et le mot de passe fournis dans la console d'atelier pour vous authentifier dans IAP Desktop. Lorsqu'un message vous invite à poursuivre, cliquez sur Continuer, puis sur Autoriser.

oauth_permissions.png

  1. Vous devrez ajouter le projet que vous souhaitez connecter aux instances Compute Engine dans IAP Desktop après votre authentification. Sélectionnez le projet d'atelier associé à votre instance d'atelier.

add_project.png

  1. Double-cliquez sur l'instance windows-iap dans l'application IAP Desktop pour vous connecter à l'instance.

  2. Vous serez peut-être invité à fournir des identifiants à l'instance lors de la toute première connexion via IAP Desktop. Sélectionnez "Générer de nouveaux identifiants" la première fois que vous vous connectez à l'instance.

credentials.png

  1. Cliquez sur OK dans la fenêtre pop-up Générer des identifiants de connexion.

  2. Une fois les identifiants créés, vous accéderez au bureau de l'instance windows-iap où vous pourrez voir l'expérience de l'utilisateur final.

windows_iap.png

Tâche 7 : Mettre en place la tunnelisation à l'aide des connexions SSH et RDP

  1. Vous allez tester la connectivité à l'instance RDP à l'aide d'un client RDP. Vous devez vous connecter à l'instance localement via un tunnel IAP.

  2. Accédez à la page Compute Engine > Instances de VM.

  3. Pour l'instance windows-connectivity, cliquez sur la flèche vers le bas et sélectionnez Définir un mot de passe Windows. Copiez le mot de passe et enregistrez-le.

  4. Ensuite, cliquez sur la flèche vers le bas à côté de "Connexion", puis sur "Télécharger le fichier RDP". Ouvrez le fichier RDP dans votre client et saisissez votre mot de passe.

  5. Une fois connecté à l'instance windows-connectivity, ouvrez le SDK Google Cloud Shell :

    Icône Google Cloud SDK Shell sur le bureau

  6. Dans la ligne de commande, saisissez la commande suivante et essayez de vous connecter à l'instance linux-iap :

    gcloud compute ssh linux-iap

    Appuyez sur Y lorsque vous êtes invité à continuer et à sélectionner la zone.

    Veillez à sélectionner la bonne zone pour l'instance lorsque vous y êtes invité.

  7. Ensuite, acceptez l'alerte de sécurité PuTTY.

Vous devriez recevoir un message indiquant qu'aucune adresse IP externe n'a été trouvée et que la tunnelisation IAP sera utilisée.

Sortie illustrant qu'aucune adresse IP externe n'a été trouvée

  1. Mettez à jour les paramètres PuTTY afin d'autoriser les connexions par tunnel localement. Cliquez en haut à gauche de la fenêtre PuTTY > Modifier les paramètres.

    Paramètres PuTTY

  2. Autorisez les connexions provenant d'autres hôtes sur les ports locaux en cochant la case "Local ports accept connections from other hosts" (Accepter les connexions à partir d'autres hôtes sur les ports locaux).

    Paramètres des tunnels

  3. Quittez la session PuTTY et cliquez sur Apply (Appliquer). Créez un tunnel chiffré vers le port RDP de l'instance de VM en utilisant la commande suivante :

    gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

    Lorsque vous voyez le message "Listening on port [XXX]", copiez le numéro de port du tunnel.

  4. Revenez à la console Google Cloud et accédez à la page Compute Engine > Instances de VM.

  5. Définissez le mot de passe pour l'instance windows-iap et copiez-le.

    Revenez à la session RDP.

  6. Laissez gcloud s'exécuter et ouvrez l'application Microsoft Windows Remote Desktop Connection.

  7. Saisissez le point de terminaison du tunnel, qui correspond au numéro de port du tunnel de l'étape précédente, comme ceci :

    • localhost:point de terminaison
    6

  8. Cliquez sur Connect (Se connecter).

    Saisissez ensuite les identifiants que vous avez copiés précédemment. Vous devriez désormais être connecté à votre instance.

    Cliquez sur Yes (Oui) si vous y êtes invité.

    Page de l'instance RDP Windows 10

Vous avez réussi à accéder à l'instance même sans adresse IP externe en utilisant IAP. Vérifier que la VM est accessible via le compte de service avec IAP actif

Félicitations ! Vous avez réussi à vous connecter aux deux instances à l'aide d'IAP.

Félicitations !

Vous avez appris à utiliser BeyondCorp Enterprise (BCE) et le transfert TCP Identity-Aware Proxy (IAP) en déployant deux VM sans adresse IP externe, windows-iap et linux-iap, mais aussi à configurer un tunnel IAP vous permettant d'accéder aux deux instances à l'aide d'une troisième VM, windows-connectivity.

Étapes suivantes et informations supplémentaires

  • Pour en savoir plus sur BeyondCorp Enterprise (BCE) et le modèle de sécurité zéro confiance, consultez ce site de documentation cloud.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière modification du manuel :18 juillet 2025

Dernier test de l'atelier : 18 juillet 2025

Copyright 2026 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.

Avant de commencer

  1. Les ateliers créent un projet Google Cloud et des ressources pour une durée déterminée.
  2. Les ateliers doivent être effectués dans le délai imparti et ne peuvent pas être mis en pause. Si vous quittez l'atelier, vous devrez le recommencer depuis le début.
  3. En haut à gauche de l'écran, cliquez sur Démarrer l'atelier pour commencer.

Utilisez la navigation privée

  1. Copiez le nom d'utilisateur et le mot de passe fournis pour l'atelier
  2. Cliquez sur Ouvrir la console en navigation privée

Connectez-vous à la console

  1. Connectez-vous à l'aide des identifiants qui vous ont été attribués pour l'atelier. L'utilisation d'autres identifiants peut entraîner des erreurs ou des frais.
  2. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.
  3. Ne cliquez pas sur Terminer l'atelier, à moins que vous n'ayez terminé l'atelier ou que vous ne vouliez le recommencer, car cela effacera votre travail et supprimera le projet.

Ce contenu n'est pas disponible pour le moment

Nous vous préviendrons par e-mail lorsqu'il sera disponible

Parfait !

Nous vous contacterons par e-mail s'il devient disponible

Un atelier à la fois

Confirmez pour mettre fin à tous les ateliers existants et démarrer celui-ci

Utilisez la navigation privée pour effectuer l'atelier

Le meilleur moyen d'exécuter cet atelier consiste à utiliser une fenêtre de navigation privée. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.