Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configura el Acceso adaptado al contexto

En esta página, se explica cómo configurar el acceso adaptado al contexto, vincular niveles de acceso a un grupo de Google y, luego, implementar Endpoint Verification. Puedes usar el Acceso adaptado al contexto para hacer lo siguiente:

Define políticas de acceso en Google Cloud recursos según atributos como la identidad del usuario, la red, la ubicación y el estado del dispositivo.
Controlar la duración de la sesión y los métodos de autenticación para el acceso continuo

Vista previa — Solo la función de controles de sesión

Esta función está sujeta a las "Condiciones de la oferta previa a la DG" en la sección Condiciones Generales del Servicio de las Condiciones Específicas del Servicio. Las funciones de la fase previa a la DG están disponibles “sin modificaciones” y pueden tener asistencia limitada. Para obtener más información, consulta las descripciones de la etapa de lanzamiento.

El Acceso adaptado al contexto se aplica cada vez que un usuario accede a una aplicación cliente que requiere un alcance Google Cloud , incluida la consola Google Cloud en la Web y la Google Cloud CLI.

Antes de comenzar

Crear niveles de acceso Puedes crear niveles de acceso básicos o niveles de acceso personalizados. Obtén más información sobre los niveles de acceso.
Crea un grupo de Google que contenga a los usuarios a los que deseas que se apliquen los niveles de acceso. Para aplicar restricciones de acceso adaptado al contexto, vincula el grupo a los niveles de acceso. Para acceder al recurso, los usuarios de este grupo deben satisfacer al menos uno de los niveles de acceso que creaste. Las políticas de acceso adaptado al contexto solo se aplican a los usuarios de tu organización.

Importante: Te recomendamos que excluyas al menos un Organization Admin o Organization Owner de este grupo para reducir el riesgo de una apertura de emergencia accidental.

Roles obligatorios

Otorga el rol de administrador de vinculaciones de acceso a la nube (roles/accesscontextmanager.gcpAccessAdmin) a nivel de la organización. Este rol es necesario para crear vinculaciones de acceso de Access Context Manager.

Console

En la consola de Google Cloud , dirígete a la página IAM.

Ir a IAM
En el menú de selección de proyectos, selecciona el ID de tu organización.
Haz clic en Otorgar acceso y configura lo siguiente:
- Entidades nuevas: Especifica el usuario o grupo al que deseas otorgar los permisos.
- Selecciona un rol: Selecciona Access Context Manager > Administrador de vinculaciones de acceso a Cloud.
Haz clic en Guardar.

gcloud

Asegúrate de que te autenticaste con privilegios suficientes para agregar permisos de IAM a nivel de la organización. Como mínimo, necesitas el rol de administrador de la organización.

Después de confirmar que tienes los permisos correctos, accede con el siguiente comando:
```
gcloud auth login
```

Ejecuta el siguiente comando para otorgar el rol de administrador de vinculaciones de acceso a la nube (roles/accesscontextmanager.gcpAccessAdmin):

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

Reemplaza lo siguiente:

ORGANIZATION_ID: El ID de tu organización. Puedes usar el siguiente comando para encontrar el ID de la organización:

  gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

Vincula Grupos de Google a niveles de acceso

Para aplicar restricciones de Acceso adaptado al contexto sobre quién puede acceder a los recursos de Google Cloud, debes vincular un grupo de Google a uno o más niveles de acceso. Los usuarios del grupo especificado obtienen acceso solo si cumplen con las condiciones definidas en los niveles de acceso vinculados.

Vincula un grupo al nivel de acceso

Puedes vincular el grupo al nivel de acceso con la consola de Google Cloud o gcloud CLI.

Console

Para vincular el grupo al nivel de acceso con la consola de Google Cloud , haz lo siguiente:

En la consola de Google Cloud , ve a la página de Chrome Enterprise Premium.

Ir a Chrome Enterprise Premium

Si se te solicita, selecciona tu organización.
Haz clic en Administrar el acceso a la consola y las APIs. Google Cloud En la página, se enumeran las vinculaciones de acceso existentes.
Haz clic en Crear vinculación.
En la sección Principales, haz clic en Agregar.
Ingresa la dirección de correo electrónico del grupo de Google que deseas vincular.
En la sección Niveles de acceso, selecciona los niveles de acceso que deben cumplir los miembros del grupo para obtener acceso. Los múltiples niveles de acceso se combinan con un OR lógico. El conector lógico OR significa que, para acceder al recurso, el usuario debe cumplir con las condiciones de al menos uno de los niveles seleccionados.
Para guardar la vinculación de acceso, haz clic en Guardar.

La vinculación puede tardar unos minutos en propagarse. Una vez que la vinculación esté activa, los miembros del grupo estarán sujetos a los requisitos de nivel de acceso configurados cuando accedan a la consola de Google Cloud o usen herramientas como la gcloud CLI que interactúan con las APIs de Google Cloud .

gcloud

Para vincular el grupo al nivel de acceso, ejecuta el siguiente comando:

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

Reemplaza lo siguiente:

GROUP_EMAIL: Es la dirección de correo electrónico del grupo de Google que se vinculará, por ejemplo, my-restricted-users@example.com.
ACCESS_LEVEL_ID: Es el nombre completo del recurso del nivel de acceso que se aplicará. El nombre del recurso tiene el formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

Para encontrar POLICY_ID, ejecuta el siguiente comando para enumerar las políticas:

gcloud access-context-manager policies list --organization ORGANIZATION_ID

ORGANIZATION_ID: Opcional Tu ID de organización Google CloudEl ID de la organización solo es obligatorio si no estableciste la organización predeterminada en la configuración de gcloud CLI.

Enumera las vinculaciones de grupos

Para enumerar las vinculaciones existentes, ejecuta el siguiente comando:

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

Implementa la verificación de extremos

Implementar Endpoint Verification es un paso opcional que te permite integrar atributos del dispositivo en tus políticas de control de acceso. Puedes usar esta capacidad para mejorar la seguridad de tu organización otorgando o denegando el acceso a los recursos según los atributos del dispositivo, como la versión y la configuración del SO.

Endpoint Verification se ejecuta como una extensión de Chrome en macOS, Windows y Linux, y te permite crear políticas de control de acceso basadas en características del dispositivo, como el modelo y la versión del SO, y características de seguridad, como la presencia de encriptación de disco, un firewall, un bloqueo de pantalla y parches del SO.

¿Qué sigue?

Obtén información para exigir acceso basado en certificados, lo que agrega una capa adicional de seguridad, ya que garantiza que solo los dispositivos autorizados puedan acceder a los recursos, incluso si se vulneran las credenciales.
Implementa la extensión de Endpoint Verification como administrador en los dispositivos de la organización de la empresa con la consola de Google Cloud .
Permite que los usuarios instalen la extensión de Endpoint Verification por su cuenta.

Configura el Acceso adaptado al contexto Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Roles obligatorios

Console

gcloud

Vincula Grupos de Google a niveles de acceso

Vincula un grupo al nivel de acceso

Console

gcloud

Enumera las vinculaciones de grupos

Implementa la verificación de extremos

¿Qué sigue?

Configura el Acceso adaptado al contexto