Configurar o acesso baseado no contexto

Nesta página, explicamos como configurar o Acesso baseado no contexto, vincular níveis de acesso a um grupo do Google e implantar a Verificação de endpoints. Você pode usar o acesso baseado no contexto para fazer o seguinte:

  • Defina políticas de acesso em recursos Google Cloud com base em atributos como identidade do usuário, rede, local e estado do dispositivo.

  • Controle a duração da sessão e os métodos de autenticação para acesso contínuo.

O acesso baseado no contexto é aplicado sempre que um usuário acessa um aplicativo cliente que exige um escopo Google Cloud , incluindo o console Google Cloud na Web e a Google Cloud CLI.

Antes de começar

  1. Crie níveis de acesso. É possível criar níveis de acesso básicos ou personalizados. Saiba mais sobre os níveis de acesso.

  2. Crie um Grupo do Google com os usuários a quem você quer aplicar os níveis de acesso. Para aplicar restrições de acesso baseado no contexto, vincule o grupo aos níveis de acesso. Para acessar o recurso, os usuários desse grupo precisam atender a pelo menos um dos níveis de acesso criados. As políticas de acesso baseado no contexto se aplicam apenas aos usuários da sua organização.

Funções exigidas

Conceda a função de administrador de vinculação de acesso à nuvem (roles/accesscontextmanager.gcpAccessAdmin) no nível da organização. Essa função é necessária para criar vinculações de acesso do Access Context Manager.

Console

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  2. No menu do seletor de projetos, selecione o ID da organização.

  3. Clique em Conceder acesso e configure o seguinte:

    • Novos principais: especifique o usuário ou grupo a que você quer conceder as permissões.

    • Selecione um papel: selecione Access Context Manager > Administrador de vinculação de acesso à nuvem.

  4. Clique em Salvar.

gcloud

  1. Verifique se você está autenticado com privilégios suficientes para adicionar permissões do IAM no nível da organização. Você precisa, no mínimo, do papel Administrador da organização.

    Depois de confirmar que você tem as permissões corretas, faça login executando o seguinte comando:

    gcloud auth login

  2. Conceda o papel de administrador de vinculação de acesso à nuvem (roles/accesscontextmanager.gcpAccessAdmin) executando o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

    Substitua:

    • ORGANIZATION_ID: o ID da organização. Use o seguinte comando para encontrar o ID da organização:
      gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

Vincular grupos do Google a níveis de acesso

Para aplicar restrições do Acesso baseado no contexto a quem pode acessar recursos do Google Cloud, vincule um Grupo do Google a um ou mais níveis de acesso. Os usuários do grupo especificado só recebem acesso se atenderem às condições definidas nos níveis de acesso vinculados.

Vincular um grupo ao nível de acesso

É possível vincular o grupo ao nível de acesso usando o console do Google Cloud ou a CLI gcloud.

Console

Para vincular o grupo ao nível de acesso usando o console do Google Cloud , faça o seguinte:

  1. No console Google Cloud , acesse a página do Chrome Enterprise Premium.


    Acessar o Chrome Enterprise Premium

    Se solicitado, selecione a organização.

  2. Clique em Gerenciar acesso ao Google Cloud console e às APIs. A página lista as vinculações de acesso atuais.

  3. Clique em Criar vinculação.

  4. Na seção Principais, clique em Adicionar.

  5. Insira o endereço de e-mail do grupo do Google que você quer vincular.

  6. Na seção Níveis de acesso, selecione os níveis que os membros do grupo precisam atender para ter acesso. Vários níveis de acesso são combinados com um operador lógico OR. A lógica OR significa que, para acessar o recurso, o usuário precisa atender às condições de pelo menos um dos níveis selecionados.

  7. Para salvar a vinculação de acesso, clique em Salvar.

A vinculação pode levar alguns minutos para ser propagada. Depois que a vinculação estiver ativa, os membros do grupo estarão sujeitos aos requisitos de nível de acesso configurados ao acessar o console Google Cloud ou usar ferramentas como a CLI gcloud, que interage com as APIs Google Cloud .

gcloud

Para vincular o grupo ao nível de acesso, execute o seguinte comando:

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

Substitua:

  • GROUP_EMAIL: o endereço de e-mail do grupo do Google a ser vinculado. Por exemplo, my-restricted-users@example.com.

  • ACCESS_LEVEL_ID: o nome completo do recurso do nível de acesso a ser aplicado. O nome do recurso está no formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

Para encontrar POLICY_ID, liste as políticas executando o seguinte comando:

gcloud access-context-manager policies list --organization ORGANIZATION_ID
  • ORGANIZATION_ID: opcional. O ID da sua organização Google Cloud. O ID da organização só é necessário se você não tiver definido a organização padrão na configuração da CLI gcloud.

Listar vinculações de grupo

Para listar as vinculações atuais, execute o seguinte comando:

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

Implantar a Verificação de endpoints

Implantar a Verificação de endpoint é uma etapa opcional que permite integrar atributos de dispositivo às suas políticas de controle de acesso. Use esse recurso para melhorar a segurança da sua organização concedendo ou negando acesso a recursos com base em atributos do dispositivo, como versão e configuração do SO.

A Verificação de endpoints é executada como uma extensão do Chrome no macOS, Windows e Linux e permite criar políticas de controle de acesso com base em características do dispositivo, como modelo e versão do SO, e características de segurança, como a presença de criptografia de disco, um firewall, um bloqueio de tela e patches do SO.

A seguir