Halaman ini menjelaskan cara menyiapkan Akses Kontekstual, mengikat tingkat akses ke grup Google, dan men-deploy Verifikasi Endpoint. Anda dapat menggunakan Akses Kontekstual untuk melakukan hal berikut:
Tentukan kebijakan akses pada Google Cloud resource berdasarkan atribut seperti identitas pengguna, jaringan, lokasi, dan status perangkat.
Mengontrol durasi sesi dan metode autentikasi ulang untuk akses berkelanjutan.
Akses Kontekstual diterapkan setiap kali pengguna mengakses aplikasi klien yang memerlukan cakupan Google Cloud , termasuk konsol Google Cloud di web dan Google Cloud CLI.
Sebelum memulai
Buat tingkat akses. Anda dapat membuat tingkat akses dasar atau tingkat akses kustom. Pelajari lebih lanjut tingkat akses.
Buat grup Google yang berisi pengguna yang ingin Anda terapkan tingkat aksesnya. Untuk menerapkan batasan Akses Kontekstual, Anda mengikat grup ke tingkat akses. Untuk mengakses resource, pengguna dalam grup ini harus memenuhi setidaknya satu tingkat akses yang Anda buat.
Peran yang diperlukan
Berikan peran Admin Pengikatan Akses Cloud (roles/accesscontextmanager.gcpAccessAdmin)
di tingkat organisasi. Peran ini diperlukan untuk membuat binding akses Access Context Manager.
Konsol
Di konsol Google Cloud , buka halaman IAM.
Di menu pemilih project, pilih ID organisasi Anda.
Klik Berikan akses dan konfigurasi hal berikut:
Akun utama baru: Tentukan pengguna atau grup yang ingin Anda beri izin.
Select a role: Pilih Access Context Manager > Cloud Access Binding Admin.
Klik Simpan.
gcloud
Pastikan Anda diautentikasi dengan hak istimewa yang memadai untuk menambahkan izin IAM di tingkat organisasi. Minimal, Anda memerlukan peran Administrator Organisasi.
Setelah Anda mengonfirmasi bahwa Anda memiliki izin yang benar, login dengan menjalankan perintah berikut:
gcloud auth loginBerikan peran Cloud Access Binding Admin (
roles/accesscontextmanager.gcpAccessAdmin) dengan menjalankan perintah berikut:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=PRINCIPAL \ --role=roles/accesscontextmanager.gcpAccessAdminGanti kode berikut:
ORGANIZATION_ID: ID untuk organisasi Anda. Anda dapat menggunakan perintah berikut untuk menemukan ID organisasi:
gcloud organizations list ``` * <code><var>PRINCIPAL</var></code>: the user or group that you want to grant the role to.
Mengikat grup Google ke tingkat akses
Untuk menerapkan pembatasan Akses Kontekstual terkait siapa yang dapat mengakses Google Cloud resource, Anda perlu mengikat grup Google ke satu atau beberapa tingkat akses. Pengguna dalam grup yang ditentukan diberi akses hanya jika mereka memenuhi kondisi yang ditentukan dalam tingkat akses terikat.
Mengikat grup ke tingkat akses
Anda dapat mengikat grup ke tingkat akses menggunakan konsol Google Cloud atau gcloud CLI.
Konsol
Untuk mengikat grup ke tingkat akses menggunakan konsol Google Cloud , lakukan hal berikut:
Di konsol Google Cloud , buka halaman Chrome Enterprise Premium.
Buka Chrome Enterprise PremiumJika diminta, pilih organisasi Anda.
Klik Kelola Akses untuk Google Cloud konsol dan API. Halaman ini mencantumkan binding akses yang ada.
Klik Buat Binding.
Di bagian Principals, klik Tambahkan.
Masukkan alamat email grup Google yang ingin Anda ikat.
Di bagian Tingkat akses, pilih tingkat akses yang harus dipenuhi oleh anggota grup untuk mendapatkan akses. Beberapa tingkat akses digabungkan secara logis dengan OR. Logika OR berarti bahwa untuk mengakses resource, pengguna harus memenuhi kondisi setidaknya salah satu tingkat yang dipilih.
Untuk menyimpan binding akses, klik Simpan.
Binding mungkin memerlukan waktu beberapa menit untuk diterapkan. Setelah binding aktif, anggota grup tunduk pada persyaratan tingkat akses yang dikonfigurasi saat mereka mengakses konsol Google Cloud atau menggunakan alat seperti gcloud CLI yang berinteraksi dengan Google Cloud API.
gcloud
Untuk mengikat grup ke tingkat akses, jalankan perintah berikut:
gcloud access-context-manager cloud-bindings create \ --group-key=GROUP_EMAIL \ --level=ACCESS_LEVEL_ID \ --organization=ORGANIZATION_ID
Ganti kode berikut:
GROUP_EMAIL: Alamat email grup Google yang akan diikat—misalnya,my-restricted-users@example.com.ACCESS_LEVEL_ID: Nama lengkap resource tingkat akses yang akan diterapkan. Nama resource menggunakan formataccessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
Anda dapat menemukan POLICY_ID dengan mencantumkan kebijakan dengan menjalankan perintah berikut:
gcloud access-context-manager policies list --organization ORGANIZATION_ID
ORGANIZATION_ID: Opsional. ID organisasi Google Cloud Anda. ID organisasi hanya diperlukan jika Anda belum menetapkan organisasi default dalam konfigurasi gcloud CLI.
Mencantumkan binding grup
Untuk mencantumkan binding yang ada, jalankan perintah berikut:
gcloud access-context-manager cloud-bindings list \
--organization ORGANIZATION_ID
Men-deploy Endpoint Verification
Men-deploy Verifikasi Endpoint adalah langkah opsional yang memungkinkan Anda mengintegrasikan atribut perangkat ke dalam kebijakan kontrol akses. Anda dapat menggunakan kemampuan ini untuk meningkatkan keamanan organisasi Anda dengan memberikan atau menolak akses ke resource berdasarkan atribut perangkat seperti versi dan konfigurasi OS.
Verifikasi Endpoint berjalan sebagai ekstensi Chrome di macOS, Windows, dan Linux, serta memungkinkan Anda membuat kebijakan kontrol akses berdasarkan karakteristik perangkat seperti model dan versi OS, serta karakteristik keamanan seperti keberadaan enkripsi disk, firewall, kunci layar, dan patch OS.
Langkah berikutnya
Pelajari cara mewajibkan akses berbasis sertifikat, yang menambahkan lapisan keamanan tambahan dengan memastikan bahwa hanya perangkat yang berwenang yang dapat mengakses resource, meskipun kredensialnya disusupi.
Deploy ekstensi Verifikasi Endpoint sebagai administrator ke perangkat milik perusahaan organisasi Anda menggunakan konsol Google Cloud .
Mengizinkan pengguna menginstal sendiri ekstensi Verifikasi Endpoint.