设置情境感知访问权限

本页面介绍如何设置情境感知访问权限、将访问权限级别绑定到 Google 群组,以及部署 Endpoint Verification。您可以使用情境感知访问权限执行以下操作:

每当用户访问需要范围的客户端应用 (包括网页上的 控制台和 Google Cloud CLI)时,系统都会强制执行情境感知访问权限。 Google Cloud Google Cloud

准备工作

  1. 创建访问权限级别。您可以创建基本访问权限级别自定义访问权限级别。 详细了解访问权限级别

  2. 创建一个 Google 群组 其中包含您希望应用访问权限级别的用户。如需应用情境感知访问权限限制,请将该群组绑定到访问权限级别。 如需访问资源,此群组中的用户必须满足您创建的至少一个访问权限级别。情境感知访问权限政策仅适用于组织内的用户。

所需的角色

在组织级层授予 Cloud Access Binding Admin (roles/accesscontextmanager.gcpAccessAdmin) 角色。创建 Access Context Manager 访问权限绑定时需要此角色。

控制台

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    进入 IAM

  2. 在项目选择器菜单中,选择您的组织 ID。

  3. 点击授予访问权限 ,然后配置以下内容:

    • 新正文:指定要授予 权限的用户或群组。

    • 选择角色:选择 Access Context Manager > Cloud Access Binding Admin

  4. 点击保存

gcloud

  1. 确保您已经过身份验证并拥有在组织级层添加 IAM 权限的足够权限。您至少需要具有 Organization Administrator 角色。

    确认拥有适当权限后,运行以下命令进行登录:

    gcloud auth login

  2. 通过运行以下命令,授予 Cloud Access Binding Admin (roles/accesscontextmanager.gcpAccessAdmin) 角色:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

    替换以下内容:

    • ORGANIZATION_ID:您的组织的 ID。 您可以使用以下命令查找组织 ID:
      gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

将 Google 群组绑定到访问权限级别

如需对可以访问 Google Cloud 资源的用户强制执行情境感知访问权限限制,您需要将 Google 群组绑定到一个或多个访问权限级别。只有当指定群组中的用户满足绑定访问权限级别中定义的条件时,系统才会授予其访问权限。

将群组绑定到访问权限级别

您可以使用 Google Cloud 控制台或 gcloud CLI 将群组绑定到访问权限级别。

控制台

如需使用 Google Cloud 控制台将群组绑定到访问权限级别,请执行以下 操作:

  1. 在 Google Cloud 控制台中,前往 Chrome 企业进阶版页面。


    前往 Chrome 企业进阶版

    如果出现提示,请选择您的组织。

  2. 点击管理对 Google Cloud 控制台和 API 的访问权限。该页面会列出所有现有的访问权限绑定。

  3. 点击创建绑定

  4. 主帐号 部分中,点击添加

  5. 输入您要绑定的 Google 群组的电子邮件地址。

  6. 访问权限级别 部分中,选择群组成员必须满足的访问权限级别才能获得访问权限。多个访问权限级别之间存在逻辑“或”关系。逻辑“或”表示,如需访问资源,用户必须满足所选级别中的至少一个级别所对应的条件。

  7. 如需保存访问权限绑定,请点击保存

绑定可能需要几分钟才能传播完毕。绑定生效后, 当群组成员访问 Google Cloud 控制台或使用与 Google Cloud API 交互的工具(例如 gcloud CLI)时,必须满足配置的访问权限级别要求。

gcloud

如需将群组绑定到访问权限级别,请运行以下命令:

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

替换以下内容:

  • GROUP_EMAIL:要绑定的 Google 群组的电子邮件地址,例如 my-restricted-users@example.com

  • ACCESS_LEVEL_ID:要应用的访问权限级别的完整资源名称。资源名称的格式为 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME

您可以通过运行以下命令列出政策来查找 POLICY_ID

gcloud access-context-manager policies list --organization ORGANIZATION_ID
  • ORGANIZATION_ID:可选。您的 Google Cloud 组织 ID。只有当您未在 gcloud CLI 配置中设置默认组织时,才需要组织 ID。

列出群组绑定

如需列出所有现有绑定,请运行以下命令:

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

部署 Endpoint Verification

部署 Endpoint Verification 是一个可选步骤,可让您将设备 属性集成到访问权限控制政策中。您可以使用此功能,根据设备属性(例如操作系统版本和配置)授予或拒绝访问资源,从而提高组织的安全性。

Endpoint Verification 在 macOS、Windows 和 Linux 上作为 Chrome 扩展程序运行,可让您根据设备特征(例如型号和操作系统版本)以及安全特征(例如是否存在磁盘加密、防火墙、屏幕锁定和操作系统补丁)创建访问权限控制政策。

后续步骤