Configure o acesso sensível ao contexto

Esta página explica como configurar o acesso sensível ao contexto. Pode usar o acesso sensível ao contexto para fazer o seguinte:

  • Defina políticas de acesso para Google Cloud recursos com base em atributos como identidade do utilizador, rede, localização e estado do dispositivo.
  • Controlar a duração da sessão e os métodos de reautenticação para acesso contínuo.

O acesso sensível ao contexto é aplicado sempre que um utilizador acede a uma aplicação cliente que requer um Google Cloud âmbito, incluindo a Google Cloud consola na Web e a CLI gcloud.

Conceda as autorizações de IAM necessárias

Conceda as autorizações de IAM ao nível da organização necessárias para criar associações de acesso do Gestor de acesso sensível ao contexto.

Consola

  1. Aceda à página IAM na Google Cloud consola.

    Aceda ao IAM

  2. Clique em Conceder acesso e configure o seguinte:

    • Novos responsáveis: especifique o utilizador ou o grupo ao qual quer conceder as autorizações.
    • Selecione uma função: selecione Gestor de contexto de acesso > Administrador de associações de acesso à nuvem.
  3. Clique em Guardar.

gcloud

  1. Certifique-se de que tem a autenticação com privilégios suficientes para adicionar autorizações do IAM ao nível da organização. No mínimo, precisa da função de administrador da organização.

    Depois de confirmar que tem as autorizações certas, inicie sessão com:

    gcloud auth login
    
  2. Atribua a função GcpAccessAdmin executando o seguinte comando:

    gcloud organizations add-iam-policy-binding ORG_ID \
      --member=user:EMAIL \
      --role=roles/accesscontextmanager.gcpAccessAdmin
    
    • ORG_ID é o ID da sua organização. Se ainda não tiver o ID da sua organização, pode usar o seguinte comando para o encontrar:

       gcloud organizations list
      
    • EMAIL é o endereço de email da pessoa ou do grupo ao qual quer conceder a função.

Crie um grupo de utilizadores

Crie um grupo de utilizadores que deve estar sujeito a restrições sensíveis ao contexto. Todos os utilizadores neste grupo que também sejam membros da sua organização têm de cumprir todos os níveis de acesso que criou para aceder à consola do Google Cloud e às APIs doGoogle Cloud .

Implemente a validação de pontos finais

A implementação da validação de pontos finais é um passo opcional que lhe permite integrar atributos do dispositivo nas suas políticas de controlo de acesso. Pode usar esta capacidade para melhorar a segurança da sua organização concedendo ou recusando o acesso a recursos com base em atributos do dispositivo, como a versão e a configuração do SO.

A validação de pontos finais é executada como uma extensão do Chrome no macOS, Windows e Linux e permite-lhe criar políticas de controlo de acesso com base nas caraterísticas do dispositivo, como o modelo e a versão do SO, e nas caraterísticas de segurança, como a presença de encriptação de disco, uma firewall, um bloqueio de ecrã e patches do SO.

Além disso, pode exigir o acesso baseado em certificados, o que garante a presença de um certificado do dispositivo validado para adicionar uma camada adicional de segurança e garantir que apenas os dispositivos autorizados podem aceder aos recursos, mesmo que as credenciais do utilizador sejam comprometidas.

Um administrador pode implementar a extensão nos dispositivos pertencentes à empresa de uma organização através da Google Cloud consola, ou os membros da organização podem instalá-la eles próprios.