Questa pagina spiega come configurare l'accesso sensibile al contesto, associare i livelli di accesso a un gruppo Google e implementare la verifica degli endpoint. Puoi utilizzare l'accesso sensibile al contesto per:
Definisci criteri di accesso alle Google Cloud risorse in base ad attributi come identità utente, rete, posizione e stato del dispositivo.
Controlla la durata della sessione e i metodi di riautenticazione per l'accesso continuo.
L'accesso sensibile al contesto viene applicato ogni volta che un utente accede a un'applicazione client che richiede un ambito Google Cloud , inclusa la console Google Cloud sul web e Google Cloud CLI.
Prima di iniziare
Crea livelli di accesso. Puoi creare livelli di accesso di base o livelli di accesso personalizzati. Scopri di più sui livelli di accesso.
Crea un gruppo Google che contenga gli utenti a cui vuoi applicare i livelli di accesso. Per applicare le limitazioni di accesso sensibile al contesto, associa il gruppo ai livelli di accesso. Per accedere alla risorsa, gli utenti di questo gruppo devono soddisfare almeno uno dei livelli di accesso che hai creato.
Ruoli obbligatori
Concedi il ruolo Amministratore binding di accesso al cloud (roles/accesscontextmanager.gcpAccessAdmin)
a livello di organizzazione. Questo ruolo è necessario per creare le associazioni di accesso di Gestore contesto accesso.
Console
Nella console Google Cloud , vai alla pagina IAM.
Nel menu del selettore dei progetti, seleziona l'ID organizzazione.
Fai clic su Concedi l'accesso e configura quanto segue:
Nuove entità: specifica l'utente o il gruppo a cui vuoi concedere le autorizzazioni.
Seleziona un ruolo: seleziona Gestore contesto accesso > Amministratore binding accesso cloud.
Fai clic su Salva.
gcloud
Assicurati di essere autenticato con privilegi sufficienti per aggiungere autorizzazioni IAM a livello di organizzazione. Come minimo, devi disporre del ruolo Amministratore organizzazione.
Dopo aver verificato di disporre delle autorizzazioni corrette, accedi eseguendo questo comando:
gcloud auth loginConcedi il ruolo Amministratore binding di accesso al cloud (
roles/accesscontextmanager.gcpAccessAdmin) eseguendo questo comando:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=PRINCIPAL \ --role=roles/accesscontextmanager.gcpAccessAdminSostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione. Puoi utilizzare il seguente comando per trovare l'ID organizzazione:
gcloud organizations list ``` * <code><var>PRINCIPAL</var></code>: the user or group that you want to grant the role to.
Associare i gruppi Google ai livelli di accesso
Per applicare le limitazioni dell'accesso sensibile al contesto a chi può accedere alle risorse, devi associare un gruppo Google a uno o più livelli di accesso. Google CloudGli utenti del gruppo specificato ricevono l'accesso solo se soddisfano le condizioni definite nei livelli di accesso associati.
Associare un gruppo al livello di accesso
Puoi associare il gruppo al livello di accesso utilizzando la console Google Cloud o gcloud CLI.
Console
Per associare il gruppo al livello di accesso utilizzando la console Google Cloud , procedi nel seguente modo:
Nella console Google Cloud , vai alla pagina Chrome Enterprise Premium.
Vai a Chrome Enterprise PremiumSe richiesto, seleziona la tua organizzazione.
Fai clic su Gestisci accesso per console e API Google Cloud . La pagina elenca le associazioni di accesso esistenti.
Fai clic su Crea binding.
Nella sezione Entità, fai clic su Aggiungi.
Inserisci l'indirizzo email del gruppo Google che vuoi collegare.
Nella sezione Livelli di accesso, seleziona i livelli di accesso che i membri del gruppo devono soddisfare per ottenere l'accesso. Più livelli di accesso sono combinati con l'operatore logico OR. L'operatore logico OR indica che, per accedere alla risorsa, l'utente deve soddisfare le condizioni di almeno uno dei livelli selezionati.
Per salvare l'associazione di accesso, fai clic su Salva.
La propagazione del binding potrebbe richiedere alcuni minuti. Una volta attivo il binding, i membri del gruppo sono soggetti ai requisiti del livello di accesso configurato quando accedono alla console Google Cloud o utilizzano strumenti come gcloud CLI che interagiscono con le API Google Cloud .
gcloud
Per associare il gruppo al livello di accesso, esegui questo comando:
gcloud access-context-manager cloud-bindings create \ --group-key=GROUP_EMAIL \ --level=ACCESS_LEVEL_ID \ --organization=ORGANIZATION_ID
Sostituisci quanto segue:
GROUP_EMAIL: l'indirizzo email del gruppo Google da collegare, ad esempiomy-restricted-users@example.com.ACCESS_LEVEL_ID: il nome completo della risorsa del livello di accesso da applicare. Il nome della risorsa è nel formatoaccessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
Puoi trovare POLICY_ID elencando le policy eseguendo questo comando:
gcloud access-context-manager policies list --organization ORGANIZATION_ID
ORGANIZATION_ID: (Facoltativo) L'ID organizzazione Google Cloud. L'ID organizzazione è obbligatorio solo se non hai impostato l'organizzazione predefinita nella configurazione di gcloud CLI.
Elenco delle associazioni di gruppi
Per elencare i binding esistenti, esegui questo comando:
gcloud access-context-manager cloud-bindings list \
--organization ORGANIZATION_ID
Esegui il deployment della verifica degli endpoint
Il deployment della verifica degli endpoint è un passaggio facoltativo che ti consente di integrare gli attributi dei dispositivi nei tuoi criteri di controllo dell'accesso#39;accesso. Puoi utilizzare questa funzionalità per migliorare la sicurezza della tua organizzazione concedendo o negando l'accesso alle risorse in base agli attributi del dispositivo, come la versione e la configurazione del sistema operativo.
Verifica endpoint viene eseguita come estensione di Chrome su macOS, Windows e Linux e ti consente di creare critericontrollo dell'accessoo basati su caratteristiche del dispositivo come modello e versione del sistema operativo e su caratteristiche di sicurezza come la presenza di crittografia del disco, un firewall, un blocco schermo e patch del sistema operativo.
Passaggi successivi
Scopri come richiedere l'accesso basato su certificati, che aggiunge un ulteriore livello di sicurezza garantendo che solo i dispositivi autorizzati possano accedere alle risorse, anche se le credenziali sono compromesse.
Esegui il deployment dell'estensione Endpoint Verification come amministratore sui dispositivi di proprietà dell'azienda della tua organizzazione utilizzando la console Google Cloud .
Consenti agli utenti di installare autonomamente l'estensione Verifica endpoint.