Zertifikatbasierten Zugriff für eine Nutzergruppe erzwingen

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) mithilfe von Richtlinien für den kontextsensitiven Zugriff erzwingen, die auf einer Nutzergruppe basieren.

Sie können den Zugriff auf alle Google Cloud Dienste einschränken, indem Sie eine CBA-Zugriffsebene an eine Nutzergruppe binden. Diese Einschränkung gilt für alle Clientanwendungen, die Google Cloud APIs aufrufen.

Optional können Sie die Einschränkungen auf bestimmte Clientanwendungen anwenden oder bestimmte Anwendungen ausnehmen. Die Anwendungen umfassen sowohl Drittanbieteranwendungen als auch von Google entwickelte Anwendungen wie Cloud Console für die Google Cloud -Konsole und Google Cloud SDK für die Google Cloud CLI.

Hinweis

Erstellen Sie eine Zugriffsebene für den zertifikatbasierten Zugriff, die Zertifikate erfordert, um den Zugriff auf Ressourcen zu bestimmen.

Eine Nutzergruppe erstellen

Erstellen Sie eine Nutzergruppe mit den Mitgliedern, denen basierend auf der CBA-Zugriffsebene Zugriff gewährt werden soll.

Rolle „Administrator für Cloud-Zugriffsbindungen“ zuweisen

Weisen Sie der Nutzergruppe die Rolle Cloud Access Binding Admin zu.

Sie benötigen ausreichende Berechtigungen, um IAM-Berechtigungen auf Organisationsebene hinzuzufügen. Sie benötigen mindestens die Rollen Organisationsadministrator und Administrator für Cloud Access Binding.

Console

  1. Rufen Sie in der Console IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Berechtigungen auf Zugriff gewähren und konfigurieren Sie Folgendes:

    1. Neue Prinzipale: Geben Sie die Gruppe an, der Sie die Rolle zuweisen möchten.
    2. Wählen Sie für die Option Rolle auswählen die Option Access Context Manager > Administrator für Cloud-Zugriffsbindungen aus.
    3. Klicken Sie auf Speichern.

gcloud

  1. Anmelden:

    gcloud auth login

  2. Weisen Sie die Rolle GcpAccessAdmin mit folgendem Befehl zu:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID ist die ID Ihrer Organisation. Wenn Sie Ihre Organisations-ID noch nicht haben, können Sie sie mit dem folgenden Befehl ermitteln:

       gcloud organizations list

    • EMAIL ist die E-Mail-Adresse der Person oder Gruppe, der Sie die Rolle zuweisen möchten.

CBA-Zugriffsebene an eine Nutzergruppe binden

Bei dieser Bindungsoption gilt die CBA-Zugriffsebene für alle Clientanwendungen für die von Ihnen angegebene Nutzergruppe.

  1. Rufen Sie in der Console die Seite „Zugriffsrichtlinie für Console und APIs“ auf:

    Zur Zugriffsrichtlinie für Console und APIs

  2. Wählen Sie eine Organisation aus und klicken Sie auf Auswählen.

  3. Klicken Sie auf Zugriff verwalten, um die Nutzergruppen auszuwählen, die Zugriff haben sollen.

  4. Klicken Sie auf Hinzufügen und konfigurieren Sie Folgendes:

    1. Mitgliedergruppen: Geben Sie die Gruppe an, der Sie Zugriff gewähren möchten. Sie können nur Gruppen auswählen, die nicht bereits an eine Zugriffsebene gebunden sind.
    2. Zugriffsebenen auswählen: Wählen Sie die CBA-Zugriffsebene aus, die auf die Gruppe angewendet werden soll.
    3. Klicken Sie auf Speichern.

CBA-Zugriffsebene an eine Nutzergruppe und bestimmte Anwendungen binden

In einigen Anwendungsfällen, z. B. bei Anwendungen, die Clientzertifikate unterstützen, ist das Binden einer CBA-Zugriffsebene an eine Nutzergruppe möglicherweise zu allgemein. Mit dieser Option können Sie CBA-Zugriffsebenen auf Anwendungen anwenden, die Clientzertifikate unterstützen.

Im folgenden Beispiel wird eine CBA-Zugriffsebene an die Google Cloud Console, die gcloud CLI und die OAuth-Anwendung eines Nutzers gebunden.

  1. Melden Sie sich in der gcloud CLI an.

    gcloud auth application-default login

  2. Erstellen Sie eine policy_file.yaml-Datei.

    Sie können Anwendungen anhand ihrer OAuth-Client-ID angeben. Wenn Sie Google-Anwendungen angeben möchten, verwenden Sie den Anwendungsnamen, z. B. Cloud Console für dieGoogle Cloud -Konsole. Es werden nur die Google Cloud -Konsole und Google Cloud SDK-Google-Anwendungen unterstützt.

    scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        name: Cloud Console
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        name: Google Cloud SDK
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        clientId: CLIENT_ID_1
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL

    Ersetzen Sie Folgendes:

    • CLIENT_ID_1: Die OAuth-Client-ID.
    • CBA_ACCESS_LEVEL: Der Name einer CBA-Zugriffsebene im Format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

  3. Erstellen Sie die Bindung der CBA-Zugriffsebene.

    gcloud access-context-manager cloud-bindings create \
   --group-key='GROUP_KEY' \
   --organization='ORG_ID' \
   --binding-file=policy_file.yaml

    Ersetzen Sie Folgendes:

    • GROUP_KEY: die eindeutige Gruppen-ID

    • ORG_ID: die Organisations-ID

    gcloud

    Sie können die eindeutige Gruppen-ID als GROUP_KEY verwenden. Verwenden Sie den folgenden Befehl, um die eindeutige Gruppen-ID abzurufen:

    gcloud identity groups describe EMAIL

    Ersetzen Sie EMAIL durch die E-Mail-Adresse Ihrer Gruppe. Die eindeutige Gruppen-ID ist der Wert, der nach / im Gruppennamen zurückgegeben wird. Die eindeutige Gruppen-ID in groups/01gf8i8311xalqg ist beispielsweise 01gf8i8311xalqg.

    REST

    Sie können die eindeutige Gruppen-ID als GROUP_KEY verwenden. Wenn Sie die eindeutige Gruppen-ID über die REST API abrufen möchten, können Sie die Methode get für die Gruppenressource aufrufen. Die eindeutige Gruppen-ID wird im Feld id der Gruppenressource zurückgegeben.

  4. Optional: Aktualisieren Sie eine vorhandene Bindung der Zugriffsebene.

    gcloud access-context-manager cloud-bindings update \
   --binding='BINDING_NAME' \
   --binding-file=policy_file.yaml

    Ersetzen Sie BINDING_NAME durch den Namen der Bindung, der beim Erstellen der Bindung automatisch generiert wurde.

Anwendung von einer Bindung ausnehmen

Eine weitere Möglichkeit, eine CBA-Zugriffsebene anzuwenden, ohne Clientanwendungen zu blockieren, die keine Clientzertifikate unterstützen, besteht darin, diese Anwendungen von der Richtlinie auszunehmen.

Bei den folgenden Schritten wird davon ausgegangen, dass Sie bereits eine Zugriffsebene für die clientzertifikatbasierte Authentifizierung erstellt haben, die Zertifikate erfordert, um den Zugriff auf Ressourcen zu bestimmen.

  1. Erstellen Sie eine Zugriffsebene für Ausnahmen mit einer der folgenden Methoden.

  2. Erstellen Sie eine exemption_file.yaml-Datei.

    scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        clientId: CLIENT_ID_2
  activeSettings:
    accessLevels:
    - EXEMPT_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        name: APPLICATION_NAME_2
  activeSettings:
    accessLevels:
    - EXEMPT_ACCESS_LEVEL

    Ersetzen Sie Folgendes:

    • CLIENT_ID_2: die OAuth-Client-ID
    • APPLICATION_NAME_2: der Name der Anwendung
    • EXEMPT_ACCESS_LEVEL: Der Name einer Zugriffsebene für Ausnahmen im Format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

  3. Erstellen Sie die Richtlinie für die Bindung von Ausnahmen.

    gcloud access-context-manager cloud-bindings create \
   --group-key='GROUP_KEY' \
   --organization='ORG_ID' \
   --binding-file=exemption_file.yaml

    Ersetzen Sie Folgendes:

    • GROUP_KEY: die eindeutige Gruppen-ID
    • ORG_ID: die Organisations-ID