הגדרה של בקרת גישה מבוססת-הקשר

בדף הזה מוסבר איך להגדיר בקרת גישה מבוססת-הקשר, לקשר רמות גישה לקבוצה ב-Google ולפרוס את אימות נקודות הקצה. אפשר להשתמש בבקרת גישה מבוססת-הקשר כדי:

  • הגדרת מדיניות גישה למשאבים על סמך מאפיינים כמו זהות המשתמש, הרשת, המיקום ומצב המכשיר. Google Cloud

  • שליטה באורך הסשן ובשיטות האימות מחדש לגישה מתמשכת.

בקרת הגישה מבוססת-הקשר נאכפת בכל פעם שמשתמש ניגש לאפליקציית לקוח שנדרש לה Google Cloud היקף, כולל מסוף Google Cloud באינטרנט ו-Google Cloud CLI.

לפני שמתחילים

  1. יוצרים רמות גישה. אתם יכולים ליצור רמות גישה בסיסיות או רמות גישה בהתאמה אישית. מידע נוסף על רמות גישה

  2. יוצרים קבוצה ב-Google שכוללת את המשתמשים שרוצים להחיל עליהם את רמות הגישה. כדי להחיל הגבלות של בקרת גישה מבוססת-הקשר, צריך לקשר את הקבוצה לרמות הגישה. כדי לגשת למשאב, המשתמשים בקבוצה הזו צריכים לעמוד לפחות באחת מרמות הגישה שיצרתם. כללי מדיניות של בקרת גישה מבוססת הקשר חלים רק על משתמשים בארגון שלכם.

התפקידים הנדרשים

מקצים את התפקיד Cloud Access Binding Admin (roles/accesscontextmanager.gcpAccessAdmin) ברמת הארגון. התפקיד הזה נדרש כדי ליצור קשרי גישה בכלי Access Context Manager.

המסוף

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. בתפריט לבחירת פרויקטים, בוחרים את מזהה הארגון.

  3. לוחצים על Grant access ומגדירים את האפשרויות הבאות:

    • New principals: מציינים את המשתמש או הקבוצה שרוצים להעניק להם את ההרשאות.

    • Select a role (בחירת תפקיד): בוחרים באפשרות Access Context Manager > Cloud Access Binding Admin (הענקת הרשאות גישה לענן).

  4. לוחצים על Save.

gcloud

  1. מוודאים שעברתם אימות עם הרשאות מספיקות כדי להוסיף הרשאות IAM ברמת הארגון. לפחות, צריך להיות לכם תפקיד של אדמין ארגוני.

    אחרי שמוודאים שיש לכם את ההרשאות הנכונות, נכנסים לחשבון על ידי הרצת הפקודה הבאה:

    gcloud auth login

  2. מריצים את הפקודה הבאה כדי להקצות את התפקיד Cloud Access Binding Admin (אדמין של קישורי גישה ל-Cloud)‏ (roles/accesscontextmanager.gcpAccessAdmin):

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: המזהה של הארגון. כדי למצוא את מזהה הארגון, אפשר להשתמש בפקודה הבאה:
      gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

קישור קבוצות ב-Google לרמות גישה

כדי לאכוף הגבלות של בקרת גישה מבוססת-הקשר על מי שיכול לגשת למשאבים ב- Google Cloud, צריך לקשר קבוצת Google לרמת גישה אחת או יותר. למשתמשים בקבוצה שצוינה תהיה גישה רק אם הם יעמדו בתנאים שמוגדרים ברמות הגישה המקושרות.

קישור קבוצה לרמת הגישה

אפשר לקשר את הקבוצה לרמת הגישה באמצעות מסוף Google Cloud או ה-CLI של gcloud.

המסוף

כדי לקשר את הקבוצה לרמת הגישה באמצעות מסוף Google Cloud :

  1. נכנסים לדף Chrome Enterprise Premium במסוף Google Cloud .


    מעבר אל Chrome Enterprise Premium

    אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  2. לוחצים על Manage Access for Google Cloud console and APIs. בדף מפורטות כבילות הגישה הקיימות.

  3. לוחצים על Create Binding (יצירת קישור).

  4. בקטע Principals, לוחצים על Add.

  5. מזינים את כתובת האימייל של קבוצת Google שרוצים לקשר.

  6. בקטע רמות גישה, בוחרים את רמות הגישה שהמשתמשים בקבוצה צריכים לעמוד בהן כדי לקבל גישה. רמות גישה מרובות מחוברות באמצעות OR לוגי. הלוגיקה של 'או' אומרת שכדי לגשת למשאב, המשתמש צריך לעמוד בתנאים של אחת מרמות הגישה שנבחרו לפחות.

  7. כדי לשמור את הקישור של הגישה, לוחצים על שמירה.

יכול להיות שיחלפו כמה דקות עד שהקישור יופץ. אחרי שהקישור פעיל, חברי הקבוצה כפופים לדרישות רמת הגישה שהוגדרו כשהם ניגשים למסוף Google Cloud או משתמשים בכלים כמו ה-CLI של gcloud שפועלים עם ממשקי Google Cloud API.

gcloud

כדי לקשר את הקבוצה לרמת הגישה, מריצים את הפקודה הבאה:

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

מחליפים את מה שכתוב בשדות הבאים:

  • GROUP_EMAIL: כתובת האימייל של קבוצת Google לקשירה – לדוגמה, my-restricted-users@example.com.

  • ACCESS_LEVEL_ID: שם המשאב המלא של רמת הגישה שרוצים להחיל. שם המשאב הוא בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

אפשר למצוא את POLICY_ID על ידי הצגת רשימת המדיניות באמצעות הפעלת הפקודה הבאה:

gcloud access-context-manager policies list --organization ORGANIZATION_ID
  • ORGANIZATION_ID: אופציונלי. מזהה Google Cloud הארגון. מזהה הארגון נדרש רק אם לא הגדרתם את הארגון שמוגדר כברירת מחדל בתצורת ה-CLI של gcloud.

הצגת רשימת ההרשאות של קבוצות

כדי להציג את הקישורים הקיימים, מריצים את הפקודה הבאה:

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

פריסת אימות של נקודות קצה

פריסת אימות נקודת הקצה היא שלב אופציונלי שמאפשר לכם לשלב מאפייני מכשיר במדיניות בקרת הגישה. אתם יכולים להשתמש ביכולת הזו כדי לשפר את האבטחה בארגון שלכם. למשל, תוכלו להעניק או לחסום גישה למשאבים על סמך מאפייני המכשיר, כמו גרסת מערכת ההפעלה וההגדרה.

התוסף Endpoint Verification פועל כתוסף ל-Chrome ב-macOS, ב-Windows וב-Linux, ומאפשר ליצור מדיניות לבקרת גישה על סמך מאפייני המכשיר כמו הדגם וגרסת מערכת ההפעלה, ומאפייני אבטחה כמו הצפנת הדיסק, חומת אש, נעילת המסך ותיקוני אבטחה למערכת ההפעלה.

המאמרים הבאים