Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
- On the top left of your screen, click Start lab to begin
Deploy a Cloud Run service
/ 20
Enable and add policy to IAP
/ 30
Access User Identity Information
/ 25
Use Cryptographic Verification
/ 25
Deploy a Cloud Run service
/ 20
Enable and add policy to IAP
/ 30
Access User Identity Information
/ 25
Use Cryptographic Verification
/ 25
Bu laboratuvarda, Google App Engine ile minimal bir web uygulaması oluşturacak, ardından uygulamaya erişimi kısıtlamak ve kullanıcı kimliği bilgileri sağlamak için Identity-Aware Proxy'yi (IAP) kullanmanın çeşitli yollarını keşfedeceksiniz. Uygulamanız şunları yapabilecek:
Bu laboratuvarda, aşağıdaki görevleri nasıl gerçekleştireceğinizi öğreneceksiniz:
Python programlama diliyle ilgili temel düzeyde bilginizin olması, öğrenme deneyiminizi olumlu yönde etkileyecektir.
Bu laboratuvar, Cloud Run ve IAP üzerinde odaklanmıştır. Alakalı olmayan kavramlar ve kod blokları işaretlenmiştir ve yalnızca kopyalayıp yapıştırmanız için paylaşılmıştır.
Web uygulamanızdaki kullanıcıların kimliklerini doğrulamak çoğunlukla gereklidir ve genellikle uygulamanızda özel programlama gerektirir. Google Cloud uygulamalarında ise bu sorumlulukları Identity-Aware Proxy hizmetine bırakabilirsiniz. Yalnızca seçili kullanıcıların erişimini kısıtlamanız gerekiyorsa uygulamada herhangi bir değişiklik yapılmasına gerek yoktur. Uygulamanın, kullanıcı kimliğini bilmesi gerekiyorsa (örneğin kullanıcı tercihlerini sunucu tarafında tutmak için) Identity-Aware Proxy bunu en az miktarda uygulama kodu ile sağlayabilir.
Identity-Aware Proxy (IAP); uygulamanıza gönderilen web isteklerini karşılayan, Google Kimlik Hizmeti'ni kullanarak istekte bulunan kullanıcıların kimliğini doğrulayan ve yalnızca yetkilendirdiğiniz kullanıcılardan gelen isteklere izin veren bir Google Cloud hizmetidir. Ayrıca istek başlıklarını, kimliği doğrulanmış kullanıcı hakkında bilgi içerecek şekilde değiştirebilir.
Buradaki talimatları okuyun. Laboratuvarlar süreli olduğundan duraklatılamaz. Start Lab'i (Laboratuvarı başlat) tıkladığınızda başlayan zamanlayıcı, Google Cloud kaynaklarının ne süreyle kullanımınıza açık durumda kalacağını gösterir.
Bu uygulamalı laboratuvarı kullanarak, laboratuvar etkinliklerini simülasyon veya demo ortamı yerine gerçek bir bulut ortamında gerçekleştirebilirsiniz. Bunu yapabilmeniz için size yeni, geçici kimlik bilgileri verilir. Bu kimlik bilgilerini laboratuvar süresince Google Cloud'da oturum açmak ve Google Cloud'a erişmek için kullanabilirsiniz.
Bu laboratuvarı tamamlamak için gerekenler:
Start Lab (Laboratuvarı Başlat) düğmesini tıklayın. Laboratuvar için ödeme yapmanız gerekiyorsa ödeme yöntemini seçebileceğiniz bir iletişim kutusu açılır. Sağdaki Lab setup and access (Laboratuvar kurulumu ve erişimi) panelinde şunlar yer alır:
Laboratuvar zamanlayıcısının sayfanın üst kısmına yakın bir yerde bulunduğunu ve kalan süreyi gösterdiğini unutmayın.
Open Google Cloud console'u (Google Cloud konsolunu aç) tıklayın (veya Chrome Tarayıcı'yı kullanıyorsanız sağ tıklayıp Bağlantıyı gizli pencerede aç'ı seçin).
Laboratuvar, kaynakları çalıştırır ve sonra "Oturum açın" sayfasını gösteren başka bir sekme açar.
İpucu: Sekmeleri ayrı pencerelerde, yan yana açın.
Gerekirse aşağıdaki kullanıcı adını kopyalayıp Oturum açın iletişim kutusuna yapıştırın.
Kullanıcı adını Lab setup and access (Laboratuvar kurulumu ve erişimi) panelinde de bulabilirsiniz.
Next'i (Sonraki) tıklayın.
Aşağıdaki şifreyi kopyalayıp Welcome (Hoş geldiniz) iletişim kutusuna yapıştırın.
Şifreyi Lab setup and access (Laboratuvar kurulumu ve erişimi) panelinde de bulabilirsiniz.
Next'i (Sonraki) tıklayın.
Sonraki sayfalarda ilgili düğmeleri tıklayarak ilerleyin:
Birkaç saniye sonra Google Cloud konsolu bu sekmede açılır.
Cloud Shell, çok sayıda geliştirme aracı içeren bir sanal makinedir. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışır. Cloud Shell, Google Cloud kaynaklarınıza komut satırı erişimi sağlar.
Google Cloud konsolunun üst kısmından Activate Cloud Shell (Cloud Shell'i etkinleştir) simgesini tıklayın.
Aşağıdaki pencereleri tıklayın:
Bağlandığınızda kimliğiniz zaten doğrulanmıştır. Proje ise Project_ID'nize (
gcloud, Google Cloud'un komut satırı aracıdır. Cloud Shell'e önceden yüklenmiştir ve sekmeyle tamamlamayı destekler.
Çıkış:
Çıkış:
gcloud ile ilgili tüm belgeleri, Google Cloud'daki gcloud CLI'a genel bakış rehberinde bulabilirsiniz.
Komut yazabilmek için Cloud Shell'de komut satırı alanını tıklayın.
Kodu, herkese açık depolama paketinden indirin ve ardından kod klasörüne geçiş yapın:
Bu klasör, bu laboratuvarın her adımı için bir alt klasör içerir. Her bir adımı gerçekleştirmek üzere doğru klasöre geçeceksiniz.
Bu, Python'da yazılmış ve yalnızca "Hello, World" (Merhaba Dünya) karşılama sayfasını görüntüleyen bir Cloud Run hizmetidir. Uygulamayı dağıtıp test edeceğiz, ardından IAP kullanarak uygulamaya erişimi kısıtlayacağız.
1-HelloWorld alt klasörüne geçin.Uygulama kodu, main.py dosyası içindedir. Flask web çerçevesini kullanarak web isteklerine bir şablonun içeriğiyle yanıt verir. Şablon dosyası templates/index.html içindedir ve bu adım için yalnızca basit HTML içerir. İkinci bir şablon dosyası, templates/privacy.html içinde son derece temel bir örnek gizlilik politikası içerir.
Başka bir dosya da mevcuttur: requirements.txt, uygulamanın kullandığı tüm varsayılan olmayan Python kitaplıklarını listeler.
Aşağıda gösterildiği şekilde cat komutunu kullanarak kabuktaki her dosyayı listeleyebilirsiniz:
Alternatif olarak, Cloud Shell araç çubuğundaki Open Editor (Düzenleyiciyi Aç) simgesine tıklayarak Cloud Shell kod düzenleyiciyi başlatabilir ve kodu bu şekilde inceleyebilirsiniz.
Bu adım için herhangi bir dosyayı değiştirmenize gerek yoktur.
Dağıtım, birkaç dakika içinde tamamlanacaktır. Hizmet URL'sini içeren bir mesaj görürsünüz.
Hedefi doğrulamak için İlerleme durumumu kontrol et'i tıklayın.
Google Cloud Console'un Gezinme menüsünde () Security (Güvenlik) > Identity-Aware Proxy'yi tıklayın.
Enable API'ı (API'yi etkinleştir) tıklayın.
Go to Identity Aware Proxy'yi (Identity Aware Proxy'ye git) tıklayın.
IAP'yi etkinleştirmek için user-auth-lab'in yanındaki IAP sütununda bulunan açma/kapatma düğmesini tıklayın.
Onaylamak için Etkinleştir'i tıklayın.
Yeni bir tarayıcı sekmesi açın ve uygulamanızın URL'sine gidin. Google ile Oturum Aç sayfası açılır.
Konsolda oturum açmak için kullandığınız öğrenci hesabı kimlik bilgileriyle oturum açın.
Erişiminizi reddeden bir ekran ile karşılaşacaksınız. Uygulamanızı IAP ile başarıyla korudunuz ancak henüz hiçbir kullanıcı hesabına yetki vermediniz.
Konsoldaki Identity-Aware Proxy sayfasına geri dönün.
Sağ tarafta ayrıntılar kenar çubuğunu açmak için user-auth-lab Cloud Run hizmetinin yanındaki onay kutusunu işaretleyin.
Ana Hesap Ekle'yi tıklayın.
Yeni ana hesaplar bölümünde öğrenci e-posta adresinizi girin.
Rol seç bölümünde Cloud IAP > IAP Güvenli Web Uygulaması Kullanıcısı'nı seçin.
Kaydet'i tıklayın. Sayfanın altında "Politika Güncellendi" mesajı görünecektir.
Uygulamanıza geri dönün ve sayfayı yeniden yükleyin. Yetkili bir hesapla giriş yaptığınız için artık web uygulamanızı görüyor olmanız gerekir.
Hedefi doğrulamak için İlerleme durumumu kontrol et'i tıklayın.
Erişim reddedildi sayfasını görmeye devam ediyorsanız IAP giriş çerezini temizleyin:
/_gcp_iap/clear_login_cookie ekleyin (ör. https://user-auth-lab-[rastgele-karma].run.app/_gcp_iap/clear_login_cookie) ve açın.Bir uygulama IAP ile korunduğunda IAP'nin geçirilen web isteği başlıklarında sağladığı kimlik bilgileri kullanılabilir. Bu adımda uygulama, giriş yapan kullanıcının e-posta adresini ve Google Kimlik Hizmeti tarafından o kullanıcıya kalıcı olarak atanan benzersiz kullanıcı kimliğini alacaktır. Bu veriler, karşılama sayfasında kullanıcıya gösterilecektir.
Dağıtım birkaç dakika içinde tamamlanacaktır. Beklerken uygulama dosyalarını aşağıda açıklanan şekilde inceleyebilirsiniz.
Hedefi doğrulamak için İlerleme durumumu kontrol et'i tıklayın.
cat komutunu kullanarak ana uygulama dosyasını Cloud Shell'de görüntüleyin:Bu klasör, daha önce dağıtmış olduğunuz 1-HelloWorld uygulamasında görünenlerle aynı dosya setini içerir ancak dosyalardan ikisi değiştirilmiştir: main.py ve templates/index.html. Program, IAP'nin istek başlıklarında sağladığı kullanıcı bilgilerini alacak şekilde değiştirilmiştir ve şablonda artık bu veriler bulunmaktadır.
main.py'de, IAP tarafından sağlanan kimlik verilerini alan iki satır bulunur:
X-Goog-Authenticated-User- başlıkları IAP tarafından sağlanır ve adlar büyük/küçük harflere duyarlı değildir. Yani tercihe bağlı olarak tamamı küçük veya büyük harflerle girilebilir. Render_template ifadesi, görüntülenebilmeleri için artık bu değerleri içerir:
index.html şablonu, adları çift küme parantezi içine alarak bu değerleri gösterebilir:
Gördüğünüz üzere sağlanan veriler, accounts.google.com ile başlar, bu da bilginin nereden geldiğini gösterir. Uygulamanız, ham değerleri almak için isterseniz iki nokta dahil olmak üzere her şeyi kaldırabilir.
IAP devre dışı bırakılırsa veya atlanırsa bu uygulamaya ne olur? Görmek için IAP'yi kapatın.
user-auth-lab) yanındaki IAP açma/kapatma düğmesini tıklayarak IAP'yi devre dışı bırakın.Uygulama artık korunmuyor olduğundan, bir kullanıcı IAP'den geçmiş gibi görünen bir web isteği gönderebilir. Örneğin, Cloud Shell'den aşağıdaki curl komutunu çalıştırın (<your-url-here> kodunu, uygulamanızın URL'siyle değiştirin):
Web sayfası komut satırında görüntülenecek ve sahte e-posta adresi gösterilecektir:
Uygulamanın IAP'nin devre dışı bırakıldığını veya atlandığını bilmesi mümkün değildir. Bunun potansiyel bir risk olduğu durumlar için Kriptografik Doğrulama bir çözüm olabilir.
IAP'nin kapatılma veya atlanma riski söz konusuysa uygulamanız, aldığı kimlik bilgilerinin geçerli olup olmadığını kontrol edebilir. Bu, IAP tarafından eklenen, X-Goog-IAP-JWT-Assertion şeklinde üçüncü bir web isteği başlığını kullanır. Başlığın değeri, kullanıcı kimlik verilerini de içeren, kriptografik olarak imzalanmış bir nesnedir. Uygulamanız, dijital imzayı doğrulayabilir ve bu nesnede sağlanan verileri kullanarak bunların herhangi bir değişiklik yapılmadan IAP tarafından sağlandığından emin olabilir.
Dijital imza doğrulaması, en son Google ortak anahtar kümesini almak da dahil olmak üzere birkaç ekstra adım gerektirir. IAP'nin birileri tarafından devre dışı bırakılması veya atlanması riskini göz önünde bulundurarak ve uygulamanın hassasiyetine bağlı olarak uygulamanızın bu ekstra adımlara ihtiyaç duyup duymadığına karar verebilirsiniz.
IAP ile korunan Cloud Run hizmetiniz için Signed Header JWT Audience (İmzalı Başlık JWT Kitlesi) istemci kimliğini bulun:
Cloud Console'da Identity-Aware Proxy sayfasına gidin.
Listede user-auth-lab adlı kullanıcıyı bulun.
Not: En sağdaki İşlemler sütununu görmek için kaynaklar tablosunu sağa kaydırmanız (tablonun altındaki yatay kaydırma çubuğunu kullanarak) gerekebilir.
Actions (İşlemler) bölümünde, kaynağın yanındaki üç dikey nokta düğmesini tıklayın ve Get JWT audience code'u (JWT kitle kodunu al) seçin.
Görüntülenen modalda Client ID (Müşteri Kimliği) dizesini kopyalayıp bir metin düzenleyiciye yapıştırın ve Ok (Tamam) seçeneğini belirleyin.
Uygulamayı Cloud Run'a dağıtın ve IAP_AUDIENCE ortam değişkenini kopyaladığınız istemci kimliği değeriyle ayarlayın:
Dağıtım birkaç dakika içinde tamamlanacaktır. Beklerken uygulama dosyalarını aşağıda açıklanan şekilde inceleyebilirsiniz.
Hedefi doğrulamak için İlerleme durumumu kontrol et'i tıklayın.
cat komutunu kullanarak Cloud Shell'de yeni kimlik doğrulama yardımcı dosyasını görüntüleyin:Bu klasör, 2-HelloUser'da görünenlerle aynı dosya setini içerir ancak iki dosya değiştirilmiş ve bir yeni dosya eklenmiştir. Yeni dosya auth.py'dir ve kriptografik olarak imzalanmış kimlik bilgilerini almak ve doğrulamak için bir user() yöntemi sağlar. Değiştirilmiş dosyalar ise main.py ve templates/index.html'dir, bunlar da artık söz konusu yöntemin sonuçlarını kullanır. Son dağıtımda bulunan doğrulanmamış başlıklar da karşılaştırma amacıyla gösterilir.
user() işlevi içindedir:assertion, belirtilen istek başlığında sağlanan, kriptografik olarak imzalanmış veridir. Kod, bu veriyi doğrulamak ve kodunu çözmek için bir kitaplıktan yararlanır. Doğrulama işleminde, imzalanan verileri kontrol etmek ve verilerin hangi kitleye yönelik hazırlandığını (esasen korunmakta olan Google Cloud projesi) bilmek için Google'ın sağladığı ortak anahtarlar kullanılır. Yardımcı fonksiyonlar keys() ve audience(), bu değerleri toplar ve döndürür.
İmzalanmış nesnede ihtiyacımız olan iki veri parçası vardır: doğrulanmış e-posta adresi ve benzersiz kimlik değeri (abone için sub içinde sağlanmış, standart alan).
Böylece 3. adım tamamlanmış olur.
Dağıtım hazır olduğunda uygulamanızın URL'sini şu komutla alabilirsiniz:
Doğrulanan yöntemle sağlanan e-posta adresinde accounts.google.com: ön ekinin bulunmadığına dikkat edin.
IAP'nin kapatılması veya atlanması durumunda, doğrulanan veriler eksik veya geçersiz olur, çünkü Google'ın özel anahtarlarının sahibi tarafından oluşturulmadıkça geçerli bir imzaya sahip olmaları mümkün değildir.
Cloud Run hizmetini dağıttınız. İlk olarak, uygulamaya erişimi yalnızca seçtiğiniz kullanıcılarla sınırlandırdınız. Ardından, IAP'nin uygulamanıza erişim izni verdiği kullanıcıların kimliklerini aldınız ve görüntülediniz, ayrıca IAP'nin devre dışı bırakılması veya atlanması durumunda bu bilgilerde nasıl adres sahteciliği yapılabileceğini gördünüz. Son olarak, kullanıcı kimliğinin kriptografik olarak imzalanmış, adres sahteciliği için kullanılması mümkün olmayan onaylarını doğruladınız.
...Google Cloud teknolojilerinden en iyi şekilde yararlanmanıza yardımcı olur. Derslerimizde teknik becerilere odaklanırken en iyi uygulamalara da yer veriyoruz. Gerekli yetkinlik seviyesine hızlıca ulaşmanız ve öğrenim maceranızı sürdürebilmeniz için sizlere yardımcı olmayı amaçlıyoruz. Temel kavramlardan ileri seviyeye kadar farklı eğitim programlarımız mevcut. Ayrıca, yoğun gündeminize uyması için talep üzerine sağlanan, canlı ve sanal eğitim alternatiflerimiz de var. Sertifikasyonlar ise Google Cloud teknolojilerindeki becerilerinizi ve uzmanlığınızı doğrulamanıza ve kanıtlamanıza yardımcı oluyor.
Kılavuzun Son Güncellenme Tarihi: 28 Mayıs 2026
Laboratuvarın Son Test Edilme Tarihi: 28 Mayıs 2026
Telif Hakkı 2026 Google LLC. Tüm hakları saklıdır. Google ve Google logosu, Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları ilişkili oldukları şirketlerin ticari markaları olabilir.
This content is not currently available
We will notify you via email when it becomes available
Great!
We will contact you via email if it becomes available
One lab at a time
Confirm to end all existing labs and start this one
Complete this quick step to start your lab.