Configurer l'accès contextuel

Cette page explique comment configurer l'accès contextuel, associer des niveaux d'accès à un groupe Google et déployer la validation des points de terminaison. Vous pouvez utiliser l'accès contextuel pour effectuer les opérations suivantes :

Définir des règles d'accès aux Google Cloud ressources en fonction d'attributs tels que l'identité de l'utilisateur, le réseau, l'emplacement et l'état de l'appareil.
Contrôler la durée des sessions et les méthodes de réauthentification pour un accès continu.

Aperçu — fonctionnalité de contrôle des sessions uniquement

Cette fonctionnalité est soumise aux "Conditions des offres de pré-DG" de la section "Conditions générales du service" des Conditions spécifiques du service. Les fonctionnalités pré-DG sont disponibles "en l'état" et peuvent avoir une prise en charge limitée. Pour en savoir plus, consultez les descriptions des étapes de lancement.

L'accès contextuel est appliqué chaque fois qu'un utilisateur accède à une application cliente qui nécessite une Google Cloud étendue, y compris la Google Cloud console sur le Web et Google Cloud CLI.

Avant de commencer

Créez des niveaux d'accès. Vous pouvez créer des niveaux d'accès de base ou des niveaux d'accès personnalisés. En savoir plus sur les niveaux d'accès.
Créez un groupe Google contenant les utilisateurs auxquels vous souhaitez appliquer les niveaux d'accès. Pour appliquer des restrictions d'accès contextuel, associez le groupe aux niveaux d'accès. Pour accéder à la ressource, les utilisateurs de ce groupe doivent respecter au moins l'un des niveaux d'accès que vous avez créés.

Important : Nous vous recommandons d'exclure au moins un Organization Admin ou Organization Owner de ce groupe pour réduire le risque de verrouillage accidentel.

Rôles requis

Attribuez le rôle Administrateur de liaison d'accès cloud (roles/accesscontextmanager.gcpAccessAdmin) au niveau de l'organisation. Ce rôle est requis pour créer des liaisons d'accès Access Context Manager.

Console

Dans la console Google Cloud , accédez à la page IAM.

Accéder à IAM
Dans le menu du sélecteur de projet, sélectionnez l'ID de votre organisation.
Cliquez sur Accorder l'accès , puis configurez les éléments suivants :
- Nouveaux comptes principaux : spécifiez l'utilisateur ou le groupe auquel vous souhaitez accorder les autorisations.
- Sélectionner un rôle : sélectionnez Access Context Manager > Administrateur de liaison d'accès cloud.
Cliquez sur Enregistrer.

gcloud

Assurez-vous d'être authentifié avec des droits suffisants pour ajouter des autorisations IAM au niveau de l'organisation. Vous devez au minimum, disposer du rôle Administrateur de l'organisation.

Une fois que vous avez vérifié que vous disposez des autorisations appropriées, connectez-vous en exécutant la commande suivante :
```
gcloud auth login
```

Attribuez le rôle Administrateur de liaison d'accès cloud (roles/accesscontextmanager.gcpAccessAdmin) en exécutant la commande suivante :

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

Remplacez les éléments suivants :

ORGANIZATION_ID : ID de votre organisation. Vous pouvez utiliser la commande suivante pour trouver l'ID de l'organisation :

  gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

Associer des groupes Google à des niveaux d'accès

Pour appliquer des restrictions d'accès contextuel aux personnes autorisées à accéder aux Google Cloud ressources, vous devez associer un groupe Google à un ou plusieurs niveaux d'accès. Les utilisateurs du groupe spécifié ne sont autorisés à accéder que s'ils remplissent les conditions définies dans les niveaux d'accès associés.

Associer un groupe au niveau d'accès

Vous pouvez associer le groupe au niveau d'accès à l'aide de la Google Cloud console ou de gcloud CLI.

Console

Pour associer le groupe au niveau d'accès à l'aide de la Google Cloud console, procédez comme suit :

Dans la Google Cloud console, accédez à la page Chrome Enterprise Premium.

Accéder à Chrome Enterprise Premium

Si vous y êtes invité, sélectionnez votre organisation.
Cliquez sur Gérer l'accès à Google Cloud la console et aux API. La page affiche les liaisons d'accès existantes.
Cliquez sur Créer une liaison.
Dans la section Comptes principaux, cliquez sur Ajouter.
Saisissez l'adresse e-mail du groupe Google que vous souhaitez associer.
Dans la section Niveaux d'accès, sélectionnez les niveaux d'accès que les membres du groupe doivent respecter pour obtenir l'accès. Plusieurs niveaux d'accès sont combinés par un "OU" logique. Cela signifie que, pour accéder à la ressource, l'utilisateur doit remplir les conditions d'au moins l'un des niveaux sélectionnés.
Pour enregistrer la liaison d'accès, cliquez sur Enregistrer.

La propagation de la liaison peut prendre quelques minutes. Une fois la liaison active, les membres du groupe sont soumis aux exigences de niveau d'accès configurées lorsqu'ils accèdent à la Google Cloud console ou utilisent des outils tels que gcloud CLI qui interagissent avec les Google Cloud API.

gcloud

Pour associer le groupe au niveau d'accès, exécutez la commande suivante :

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

Remplacez les éléments suivants :

GROUP_EMAIL: adresse e-mail du groupe Google à associer, par exemple my-restricted-users@example.com.
ACCESS_LEVEL_ID: nom complet de la ressource du niveau d'accès à appliquer. Le nom de la ressource est au format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

Vous pouvez trouver POLICY_ID en listant les règles à l'aide de la commande suivante :

gcloud access-context-manager policies list --organization ORGANIZATION_ID

ORGANIZATION_ID : facultatif. ID de votre Google Cloud organisation. L'ID de l'organisation n'est requis que si vous n'avez pas défini l'organisation par défaut dans votre configuration gcloud CLI.

Lister les liaisons de groupe

Pour lister les liaisons existantes, exécutez la commande suivante :

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

Déployer Endpoint Verification

Le déploiement d'Endpoint Verification est une étape facultative qui vous permet d'intégrer des attributs d'appareil dans vos règles de contrôle des accès. Vous pouvez utiliser cette fonctionnalité pour améliorer la sécurité de votre organisation en accordant ou en refusant l'accès aux ressources en fonction d'attributs d'appareil tels que la version et la configuration de l'OS.

Endpoint Verification s'exécute en tant qu'extension Chrome sur macOS, Windows et Linux. Il vous permet de créer des règles de contrôle des accès basées sur les caractéristiques de l'appareil (modèle et version de l'OS, par exemple) et sur les caractéristiques de sécurité (présence d'un chiffrement de disque, d'un pare-feu, d'un verrouillage d'écran et de correctifs de l'OS, par exemple).

Étape suivante

Découvrez comment exiger un accès basé sur un certificat, ce qui ajoute une couche de sécurité supplémentaire en veillant à ce que seuls les appareils autorisés puissent accéder aux ressources, même si les identifiants sont compromis.
Déployez l'extension Endpoint Verification en tant qu'administrateur sur les appareils détenus par l'entreprise à l'aide de la Google Cloud console.
Autorisez les utilisateurs à installer eux-mêmes l'extension Endpoint Verification.

Configurer l'accès contextuel Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Avant de commencer

Rôles requis

Console

gcloud

Associer des groupes Google à des niveaux d'accès

Associer un groupe au niveau d'accès

Console

gcloud

Lister les liaisons de groupe

Déployer Endpoint Verification

Étape suivante

Configurer l'accès contextuel