設定情境感知存取權

控制台

1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

   前往「IAM」頁面

2. 在專案選取器選單中，選取您的機構 ID。

3. 按一下「授予存取權」，然後設定下列項目：

   • 「New principals」(新增主體)：指定您要授予權限的使用者或群組。

   • 「Select a role」(選取角色)：依序選取「Access Context Manager」>「Cloud Access Binding Admin」(Cloud Access Binding 管理員)。

4. 按一下 [儲存]。

gcloud

1. 請確認您已通過驗證，且具備足夠的權限，可在機構層級新增 IAM 權限。您至少需要機構管理員角色。

   確認您具備適當權限後，請執行下列指令登入：

   gcloud auth login
   

2. 執行下列指令，授予 Cloud 存取權繫結管理員 (roles/accesscontextmanager.gcpAccessAdmin) 角色：

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=PRINCIPAL \
       --role=roles/accesscontextmanager.gcpAccessAdmin
   

   更改下列內容：

   • ORGANIZATION_ID：貴機構的 ID。 您可以使用下列指令尋找機構 ID：

     gcloud organizations list
     ```
   
   * <code><var>PRINCIPAL</var></code>: the user or group that you want to
   grant the role to.
   

控制台

如要使用 Google Cloud 控制台將群組繫結至存取層級，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Chrome Enterprise 進階版」頁面。

   
   前往 Chrome Enterprise 進階版

   如果系統提示，請選取您的機構。

2. 按一下「管理控制台和 API 的存取權」 Google Cloud 。頁面會列出目前的存取權繫結。

3. 按一下「建立繫結」。

4. 在「主體」部分中，按一下「新增」。

5. 輸入要繫結的 Google 群組電子郵件地址。

6. 在「存取層級」部分中，選取群組成員必須符合的存取層級，才能取得存取權。多個存取層級會以邏輯 OR 運算子連結。「邏輯 OR」是指使用者必須符合至少一個所選層級的條件，才能存取資源。

7. 如要儲存存取權繫結，請按一下「儲存」。

繫結可能需要幾分鐘才會全面生效。繫結生效後，群組成員存取 Google Cloud 控制台或使用 gcloud CLI 等工具與 Google Cloud API 互動時，必須符合設定的存取層級規定。

gcloud

如要將群組繫結至存取層級，請執行下列指令：

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

更改下列內容：

• GROUP_EMAIL：要繫結的 Google 群組電子郵件地址，例如 my-restricted-users@example.com。

• ACCESS_LEVEL_ID：要套用的存取層級完整資源名稱。資源名稱的格式為 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME。

如要找出 POLICY_ID，請執行下列指令列出政策：

gcloud access-context-manager policies list --organization ORGANIZATION_ID

• ORGANIZATION_ID：選用。您的 Google Cloud機構 ID。只有當您尚未在 gcloud CLI 設定中設定預設機構時，才需要提供機構 ID。