Kontextsensitiven Zugriff einrichten

Auf dieser Seite wird erläutert, wie Sie den kontextsensitiven Zugriff einrichten, Zugriffsebenen an eine Google-Gruppe binden und die Endpunktprüfung bereitstellen. Mit dem kontextsensitiven Zugriff haben Sie folgende Möglichkeiten:

Definieren Sie Zugriffsrichtlinien für Google Cloud Ressourcen basierend auf Attributen wie Nutzeridentität, Netzwerk, Standort und Gerätestatus.
Sitzungslänge und Methoden für die erneute Authentifizierung für den fortlaufenden Zugriff festlegen.

Vorschau – Session controls feature only

Diese Funktion unterliegt den Bedingungen für Pre‑GA-Angebote im Abschnitt „Allgemeine Dienstbedingungen“ der dienstspezifischen Nutzungsbedingungen. Pre-GA-Funktionen stehen in der vorliegenden Form zur Verfügung und bieten möglicherweise nur eingeschränkten Support. Weitere Informationen finden Sie in den Beschreibungen der Produkteinführungsphasen.

Der kontextsensitiven Zugriff wird immer dann erzwungen, wenn ein Nutzer auf eine Clientanwendung zugreift, die einen Google Cloud -Bereich erfordert, einschließlich der Google Cloud Console im Web und der Google Cloud CLI.

Hinweis

Zugriffsebenen erstellen Sie können einfache Zugriffsebenen oder benutzerdefinierte Zugriffsebenen erstellen. Weitere Informationen zu Zugriffsebenen
Erstellen Sie eine Google-Gruppe mit den Nutzern, auf die die Zugriffsebenen angewendet werden sollen. Um Einschränkungen für den kontextsensitiven Zugriff anzuwenden, binden Sie die Gruppe an die Zugriffsebenen. Um auf die Ressource zuzugreifen, müssen Nutzer in dieser Gruppe mindestens einer der von Ihnen erstellten Zugriffsebenen entsprechen.

Wichtig :Wir empfehlen, mindestens einen Organization Admin oder Organization Owner aus dieser Gruppe auszuschließen, um das Risiko einer versehentlichen Aussperrung zu verringern.

Erforderliche Rollen

Weisen Sie die Rolle „Cloud Access Binding Admin“ (roles/accesscontextmanager.gcpAccessAdmin) auf Organisationsebene zu. Diese Rolle ist zum Erstellen von Access Context Manager-Zugriffsbindungen erforderlich.

Console

Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen
Wählen Sie im Menü „Projektauswahl“ Ihre Organisations-ID aus.
Klicken Sie auf Zugriff erlauben und konfigurieren Sie Folgendes:
- Neue Hauptkonten: Geben Sie den Nutzer oder die Gruppe an, dem bzw. der Sie die Berechtigungen gewähren möchten.
- Rolle auswählen: Wählen Sie Access Context Manager > Administrator für Cloud-Zugriffsbindungen aus.
Klicken Sie auf Speichern.

gcloud

Prüfen Sie, ob Sie über ausreichende Berechtigungen verfügen, um IAM-Berechtigungen auf Organisationsebene hinzuzufügen. Sie benötigen mindestens die Rolle Organisationsadministrator.

Nachdem Sie bestätigt haben, dass Sie die richtigen Berechtigungen haben, melden Sie sich mit dem folgenden Befehl an:
```
gcloud auth login
```

Weisen Sie die Rolle „Cloud Access Binding Admin“ (roles/accesscontextmanager.gcpAccessAdmin) mit dem folgenden Befehl zu:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

Ersetzen Sie Folgendes:

ORGANIZATION_ID: die ID für Ihre Organisation. Mit dem folgenden Befehl können Sie die Organisations-ID ermitteln:

  gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

Google-Gruppen an Zugriffsebenen binden

Wenn Sie Einschränkungen für den kontextsensitiven Zugriff darauf erzwingen möchten, wer auf Google Cloud-Ressourcen zugreifen kann, müssen Sie eine Google-Gruppe an eine oder mehrere Zugriffsebenen binden. Nutzer in der angegebenen Gruppe erhalten nur dann Zugriff, wenn sie die Bedingungen erfüllen, die in den gebundenen Zugriffsebenen definiert sind.

Gruppe an die Zugriffsebene binden

Sie können die Gruppe über die Google Cloud Console oder die gcloud CLI an die Zugriffsebene binden.

Console

So binden Sie die Gruppe über die Google Cloud Console an die Zugriffsebene:

Rufen Sie in der Google Cloud Console die Seite „Chrome Enterprise Premium“ auf.

Zu Chrome Enterprise Premium wechseln

Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf Zugriff für Google Cloud Console und APIs verwalten. Auf der Seite werden die vorhandenen Zugriffsbindungen aufgeführt.
Klicken Sie auf Bindung erstellen.
Klicken Sie im Bereich Hauptkonten auf Hinzufügen.
Geben Sie die E-Mail-Adresse der Google-Gruppe ein, die Sie verknüpfen möchten.
Wählen Sie im Bereich Zugriffsebenen die Zugriffsebenen aus, die Mitglieder der Gruppe erfüllen müssen, um Zugriff zu erhalten. Mehrere Zugriffsebenen werden logisch ODER-verknüpft. Die logische ODER-Verknüpfung bedeutet, dass der Nutzer die Bedingungen für mindestens eine der ausgewählten Ebenen erfüllen muss, um auf die Ressource zugreifen zu können.
Klicken Sie auf Speichern, um die Zugriffsbindung zu speichern.

Es kann einige Minuten dauern, bis die Bindung wirksam wird. Nachdem die Bindung aktiv ist, unterliegen Mitglieder der Gruppe den konfigurierten Anforderungen an die Zugriffsebene, wenn sie auf die Google Cloud Console zugreifen oder Tools wie die gcloud CLI verwenden, die mit Google Cloud APIs interagieren.

gcloud

Führen Sie den folgenden Befehl aus, um die Gruppe an die Zugriffsebene zu binden:

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

Ersetzen Sie Folgendes:

GROUP_EMAIL: Die E-Mail-Adresse der Google-Gruppe, die gebunden werden soll, z. B. my-restricted-users@example.com.
ACCESS_LEVEL_ID: Der vollständige Ressourcenname der anzuwendenden Zugriffsebene. Der Ressourcenname hat das Format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

Sie können POLICY_ID ermitteln, indem Sie die Richtlinien mit dem folgenden Befehl auflisten:

gcloud access-context-manager policies list --organization ORGANIZATION_ID

ORGANIZATION_ID: Optional. Ihre Google CloudOrganisations-ID. Die Organisations-ID ist nur erforderlich, wenn Sie die Standardorganisation nicht in Ihrer gcloud CLI-Konfiguration festgelegt haben.

Gruppenbindungen auflisten

Führen Sie den folgenden Befehl aus, um vorhandene Bindungen aufzulisten:

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

Endpunktprüfung bereitstellen

Die Bereitstellung der Endpunktprüfung ist ein optionaler Schritt, mit dem Sie Geräteattribute in Ihre Richtlinien zur Zugriffssteuerung einbinden können. Mit dieser Funktion können Sie die Sicherheit Ihrer Organisation erhöhen, indem Sie den Zugriff auf Ressourcen basierend auf Geräteattributen wie Betriebssystemversion und Konfiguration gewähren oder verweigern.

Endpoint Verification wird als Chrome-Erweiterung unter macOS, Windows und Linux ausgeführt. Damit können Sie Zugriffssteuerungsrichtlinien auf Grundlage von Gerätecharakteristika wie Modell und Betriebssystemversion sowie Sicherheitsmerkmalen wie Festplattenverschlüsselung, Firewall, Displaysperre und Betriebssystem-Patches erstellen.

Nächste Schritte

Zertifikatbasierten Zugriff erzwingen: Diese Funktion bietet eine zusätzliche Sicherheitsebene, da nur autorisierte Geräte auf Ressourcen zugreifen können, auch wenn die Anmeldedaten manipuliert wurden.
Stellen Sie die Erweiterung „Endpunktprüfung“ als Administrator auf den unternehmenseigenen Geräten Ihrer Organisation über die Google Cloud -Konsole bereit.
Nutzern erlauben, die Erweiterung „Endpunktprüfung“ selbst zu installieren

Kontextsensitiven Zugriff einrichten Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweis

Erforderliche Rollen

Console

gcloud

Google-Gruppen an Zugriffsebenen binden

Gruppe an die Zugriffsebene binden

Console

gcloud

Gruppenbindungen auflisten

Endpunktprüfung bereitstellen

Nächste Schritte

Kontextsensitiven Zugriff einrichten