Configurar o acesso baseado no contexto

Nesta página, explicamos como configurar o Acesso baseado no contexto, vincular níveis de acesso a um Grupo do Google e implantar a Verificação de endpoints. É possível usar o Acesso baseado no contexto para:

  • Definir políticas de acesso em Google Cloud recursos com base em atributos como identidade do usuário, rede, local e estado do dispositivo.

  • Controlar a duração da sessão e os métodos de autenticação para acesso contínuo.

O Acesso Baseado no Contexto é aplicado sempre que um usuário acessa um aplicativo cliente que exige um Google Cloud escopo, incluindo o Google Cloud console na Web e a Google Cloud CLI.

Antes de começar

  1. Crie níveis de acesso. É possível criar níveis de acesso básicos ou níveis de acesso personalizados. Saiba mais sobre os níveis de acesso.

  2. Crie um Grupo do Google que contenha os usuários a que você quer aplicar os níveis de acesso. Para aplicar restrições de Acesso baseado no contexto, vincule o grupo aos níveis de acesso. Para acessar o recurso, os usuários desse grupo precisam atender a pelo menos um dos níveis de acesso criados.

Funções exigidas

Conceda o papel Administrador de vinculação de acesso à nuvem (roles/accesscontextmanager.gcpAccessAdmin) no nível da organização. Esse papel é necessário para criar vinculações de acesso do Access Context Manager.

Console

  1. No Google Cloud console, acesse a página IAM.

    Acessar IAM

  2. No menu do seletor de projetos, selecione o ID da organização.

  3. Clique em Conceder acesso e configure o seguinte:

    • Novos principais: especifique o usuário ou grupo a que você quer conceder as permissões.

    • Selecionar um papel: selecione Access Context Manager > Administrador de vinculação de acesso à nuvem.

  4. Clique em Salvar.

gcloud

  1. Verifique se você está autenticado com privilégios suficientes para adicionar permissões do IAM no nível da organização. Você precisa, no mínimo, do papel **Administrador da organização**.

    Depois de confirmar que você tem as permissões corretas, faça login executando o seguinte comando:

    gcloud auth login

  2. Conceda o papel Administrador de vinculação de acesso à nuvem (roles/accesscontextmanager.gcpAccessAdmin) executando o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

    Substitua:

    • ORGANIZATION_ID: o ID da organização. É possível usar o seguinte comando para encontrar o ID da organização:
      gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

Vincular Grupos do Google a níveis de acesso

Para aplicar restrições de Acesso baseado no contexto a quem pode acessar Google Cloud recursos, é necessário vincular um Grupo do Google a um ou mais níveis de acesso. Os usuários do grupo especificado só recebem acesso se atenderem às condições definidas nos níveis de acesso vinculados.

Vincular um grupo ao nível de acesso

É possível vincular o grupo ao nível de acesso usando o Google Cloud console ou a CLI gcloud.

Console

Para vincular o grupo ao nível de acesso usando o Google Cloud console, faça o seguinte:

  1. No Google Cloud console, acesse a página do Chrome Enterprise Premium.


    Acessar o Chrome Enterprise Premium

    Se solicitado, selecione a organização.

  2. Clique em Gerenciar acesso ao Google Cloud console e às APIs. A página lista as vinculações de acesso atuais.

  3. Clique em Criar vinculação.

  4. Na seção Principais, clique em Adicionar.

  5. Insira o endereço de e-mail do Grupo do Google que você quer vincular.

  6. Na seção Níveis de acesso, selecione os níveis de acesso que os membros do grupo precisam atender para ter acesso. Vários níveis de acesso são combinados logicamente com "OR". Isso significa que, para acessar o recurso, o usuário precisa atender às condições de pelo menos um dos níveis selecionados.

  7. Para salvar a vinculação de acesso, clique em Salvar.

A vinculação pode levar alguns minutos para ser propagada. Depois que a vinculação estiver ativa, os membros do grupo estarão sujeitos aos requisitos de nível de acesso configurados ao acessarem o Google Cloud console ou usarem ferramentas como a CLI gcloud que interagem com Google Cloud APIs.

gcloud

Para vincular o grupo ao nível de acesso, execute o seguinte comando:

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

Substitua:

  • GROUP_EMAIL: o endereço de e-mail do Grupo do Google a ser vinculado. Por exemplo, my-restricted-users@example.com.

  • ACCESS_LEVEL_ID: o nome completo do recurso do nível de acesso a ser aplicado. O nome do recurso está no formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

Para encontrar POLICY_ID, liste as políticas executando o seguinte comando:

gcloud access-context-manager policies list --organization ORGANIZATION_ID
  • ORGANIZATION_ID: opcional. ID da organização. Google CloudO ID da organização só é necessário se você não tiver definido a organização padrão na configuração da CLI gcloud.

Listar vinculações de grupo

Para listar as vinculações atuais, execute este comando:

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

Implantar a Verificação de endpoints

A implantação da Verificação de endpoints é uma etapa opcional que permite integrar atributos de dispositivo às políticas de controle de acesso. É possível usar esse recurso para melhorar a segurança da organização, concedendo ou negando acesso a recursos com base em atributos do dispositivo, como versão e configuração do SO.

A Verificação de endpoints é executada como uma extensão do Chrome no macOS, Windows e Linux e permite criar políticas de controle de acesso com base em características do dispositivo, como modelo e versão do SO, e características de segurança, como a presença de criptografia de disco, um firewall, um bloqueio de tela e patches do SO.

A seguir