將 Chrome Enterprise 進階版套用至雲端資源

事前準備

如要讓應用程式和資源具備情境感知能力，請先完成下列事項：

1. 如果貴機構還沒有 Cloud Identity 使用者帳戶，請建立幾個 Cloud Identity 帳戶。

2. 決定要保護的資源。如果沒有資源，請設定下列其中一項。

   • 在 Google Cloud上，透過 HTTPS 負載平衡器執行的網頁應用程式。包括 App Engine 應用程式等網路應用程式、在本機執行的應用程式，以及在其他雲端執行的應用程式。
   • Google Cloud上的虛擬機器。

3. 決定要授予及限制哪些主體的存取權。

如要瞭解如何保護 Google Workspace 應用程式，請參閱 Google Workspace Chrome Enterprise Premium 總覽。

透過 IAP 保護應用程式和資源

Identity-Aware Proxy (IAP) 會為透過 HTTPS 和 TCP 存取的應用程式和資源建立中央身分識別感知層。也就是說，您可以控管個別應用程式和資源的存取權，不必使用網路層級的防火牆。

請選取下列其中一個指南，確保應用程式和所有資源的安全： Google Cloud

• App Engine 標準和彈性環境
• Compute Engine
• Google Kubernetes Engine

您也可以將 IAP 擴展至非Google Cloud環境，例如內部部署和其他雲端。詳情請參閱「保護內部部署應用程式」指南。

詳情請參閱 IAP 說明文件。

虛擬機器資源

您可以設定通道資源權限，並建立透過 IAP 將 TCP 流量轉送至虛擬機器執行個體的通道，藉此控管後端管理服務 (如 SSH 和遠端桌面協定) 的存取權。

如要保護虛擬機器，請參閱「保護虛擬機器」指南。

使用 Access Context Manager 建立存取層級

透過 IAP 保護應用程式和資源後，即可使用存取層級設定更完善的存取政策。

Access Context Manager 會建立存取層級。存取層級可根據下列屬性限制存取權：

• IP 子網路
• 區域
• 存取層級依附元件
• 主體
• 裝置政策 (請注意，您必須設定端點驗證。)

按照「建立存取層級」指南建立存取層級。

套用存取層級

您必須在 IAP 保護資源的身分與存取權管理 (IAM) 政策中套用存取層級，存取層級才會生效。如要完成這個步驟，請在用於授予資源存取權的 IAP 角色中，新增 IAM 條件。

如要套用存取層級，請參閱套用存取層級。

套用存取層級後，資源就會受到 Chrome Enterprise 進階版保護。

透過端點驗證啟用裝置信任和安全性

如要進一步強化 Chrome Enterprise 進階版受保護資源的安全性，您可以透過存取層級套用以裝置為準的信任和安全存取控制屬性。端點驗證 可啟用這項控制項。

端點驗證是適用於 Windows、Mac 和 ChromeOS 裝置的 Chrome 擴充功能。Access Context Manager 會參照端點驗證收集的裝置屬性，透過存取層級強制執行精細的存取控管。

請按照端點驗證快速入門指南，為貴機構設定端點驗證。