En esta página, se explica cómo configurar el Acceso adaptado al contexto, vincular niveles de acceso a un Grupo de Google y, luego, implementar Endpoint Verification. Puedes usar el Acceso adaptado al contexto para hacer lo siguiente:
Definir políticas de acceso en Google Cloud recursos según atributos como la identidad del usuario, la red, la ubicación y el estado del dispositivo
Controlar la duración de la sesión y los métodos de reautenticación para el acceso continuo
El Acceso adaptado al contexto se aplica cada vez que un usuario accede a una aplicación cliente que requiere un Google Cloud alcance, incluida la Google Cloud consola en la Web y Google Cloud CLI.
Antes de comenzar
Crea niveles de acceso. Puedes crear niveles de acceso básicos o niveles de acceso personalizados. Obtén más información sobre los niveles de acceso.
Crea un Grupo de Google que contenga los usuarios a los que deseas que se apliquen los niveles de acceso. Para aplicar las restricciones del Acceso adaptado al contexto, vincula el grupo a los niveles de acceso. Para acceder al recurso, los usuarios de este grupo deben satisfacer al menos uno de los niveles de acceso que creaste.
Roles obligatorios
Otorga el rol Administrador de vinculaciones de acceso a Cloud (roles/accesscontextmanager.gcpAccessAdmin)
a nivel de la organización. Este rol es obligatorio para crear vinculaciones de acceso de Access Context Manager.
Console
En la Google Cloud consola de, dirígete a la página IAM.
En el menú de selección de proyectos, selecciona el ID de tu organización.
Haz clic en Otorgar acceso y configura lo siguiente:
Principales nuevas: Especifica el usuario o grupo al que quieres otorgar los permisos.
Selecciona una función: Selecciona Access Context Manager > Administrador de vinculaciones de acceso a Cloud.
Haz clic en Guardar.
gcloud
Asegúrate de estar autenticado con los privilegios suficientes para agregar permisos de IAM a nivel de la organización. Como mínimo, necesitas el rol Administrador de la organización.
Después de confirmar que tienes los permisos correctos, accede con el siguiente comando:
gcloud auth loginEjecuta el siguiente comando para otorgar el rol Administrador de vinculaciones de acceso a Cloud (
roles/accesscontextmanager.gcpAccessAdmin):gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=PRINCIPAL \ --role=roles/accesscontextmanager.gcpAccessAdminReemplaza lo siguiente:
ORGANIZATION_ID: El ID de tu organización. Puedes usar el siguiente comando para encontrar el ID de la organización:
gcloud organizations list ``` * <code><var>PRINCIPAL</var></code>: the user or group that you want to grant the role to.
Vincula Grupos de Google a niveles de acceso
Para aplicar las restricciones del Acceso adaptado al contexto sobre quién puede acceder a los Google Cloud recursos, debes vincular un Grupo de Google a uno o más niveles de acceso. Los usuarios del grupo especificado solo obtienen acceso si cumplen con las condiciones definidas en los niveles de acceso vinculados.
Vincula un grupo al nivel de acceso
Puedes vincular el grupo al nivel de acceso con la Google Cloud consola de o gcloud CLI.
Console
Para vincular el grupo al nivel de acceso con la Google Cloud consola de, haz lo siguiente:
En la Google Cloud consola de, ve a la página Chrome Enterprise Premium.
Ir a Chrome Enterprise PremiumSi se te solicita, selecciona tu organización.
Haz clic en Administrar el acceso a Google Cloud la consola y las APIs. En la página, se enumeran las vinculaciones de acceso existentes.
Haz clic en Crear vinculación.
En la sección Principales, haz clic en Agregar.
Ingresa la dirección de correo electrónico del Grupo de Google que deseas vincular.
En la sección Niveles de acceso, selecciona los niveles de acceso que deben satisfacer los miembros del grupo para obtener acceso. Varios niveles de acceso se unen lógicamente con el operador OR. El operador OR lógico significa que, para acceder al recurso, el usuario debe cumplir con las condiciones de al menos uno de los niveles seleccionados.
Para guardar la vinculación de acceso, haz clic en Guardar.
La vinculación puede tardar unos minutos en propagarse. Una vez que la vinculación esté activa, los miembros del grupo estarán sujetos a los requisitos de nivel de acceso configurados cuando accedan a la Google Cloud consola o usen herramientas como gcloud CLI que interactúan con las Google Cloud APIs.
gcloud
Para vincular el grupo al nivel de acceso, ejecuta el siguiente comando:
gcloud access-context-manager cloud-bindings create \ --group-key=GROUP_EMAIL \ --level=ACCESS_LEVEL_ID \ --organization=ORGANIZATION_ID
Reemplaza lo siguiente:
GROUP_EMAIL: La dirección de correo electrónico del Grupo de Google que se vinculará, por ejemplo,my-restricted-users@example.com.ACCESS_LEVEL_ID: El nombre completo del recurso del nivel de acceso que se aplicará. El nombre del recurso tiene el formatoaccessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
Para encontrar POLICY_ID, enumera las políticas con el siguiente comando:
gcloud access-context-manager policies list --organization ORGANIZATION_ID
ORGANIZATION_ID: Opcional Es el ID de tu Google Cloud organización. El ID de la organización solo es obligatorio si no estableciste la organización predeterminada en la configuración de gcloud CLI.
Enumera las vinculaciones de grupos
Para enumerar las vinculaciones existentes, ejecuta el siguiente comando:
gcloud access-context-manager cloud-bindings list \
--organization ORGANIZATION_ID
Implementa Endpoint Verification
La implementación de Endpoint Verification es un paso opcional que te permite integrar atributos del dispositivo en tus políticas de control de acceso. Puedes usar esta capacidad para mejorar la seguridad de tu organización otorgando o denegando el acceso a los recursos en función de los atributos del dispositivo, como la versión y la configuración del SO.
Endpoint Verification se ejecuta como una extensión de Chrome en macOS, Windows y Linux, y te permite crear políticas de control de acceso basadas en características del dispositivo, como el modelo y la versión del SO, y características de seguridad, como la presencia de encriptación de disco, un firewall, un bloqueo de pantalla y parches del SO.
¿Qué sigue?
Obtén información para requerir acceso basado en certificados, lo que agrega una capa adicional de seguridad, ya que garantiza que solo los dispositivos autorizados puedan acceder a los recursos, incluso si las credenciales están en riesgo.
Implementa la extensión de Endpoint Verification como administrador en los dispositivos de la organización de la empresa con la Google Cloud consola.
Permite que los usuarios instalen la extensión de Endpoint Verification por su cuenta.