Creazione di un livello di accesso base

Questa pagina descrive in generale come creare livelli di accesso di base. Per creare livelli di accesso personalizzati e utilizzare la modalità avanzata nella console Google Cloud , consulta Creare un livello di accesso personalizzato.

Questa pagina include implementazioni più mirate dei livelli di accesso. Vedi i seguenti esempi:

Prima di iniziare

Creare un livello di accesso di base

Console

Per creare un livello di accesso di base:

  1. Apri la pagina Gestore contesto accesso nella console Google Cloud .

    Apri la pagina Gestore contesto accesso

  2. Se ti viene chiesto, seleziona la tua organizzazione.

  3. Nella parte superiore della pagina Access Context Manager, fai clic su Nuovo.

  4. Nel riquadro Nuovo livello di accesso:

    1. Nel campo Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, deve iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.

    2. Nella sezione Condizioni, fai clic sul pulsante Aggiungi per il tipo di attributo da aggiungere e poi fornisci i valori da applicare a quell'attributo.

      Per un elenco completo degli attributi che puoi aggiungere, consulta gli attributi del livello di accesso.

      Ad esempio, se vuoi che il livello di accesso tenga conto della provenienza di una richiesta all'interno della tua rete, devi selezionare l'attributo Subnet IP.

      Ripeti questo passaggio per aggiungere più attributi alla stessa condizione. Quando una condizione ha più attributi, tutti gli attributi devono essere soddisfatti dalla richiesta di accesso.

      Una condizione del livello di accesso può includere uno di ciascun tipo di attributo. Alcuni attributi includono opzioni aggiuntive, come l'attributo Device Policy.

      I livelli di accesso supportano le condizioni in base all'identità dell'utente. Tuttavia, per aggiungere identità a una condizione, devi creare o aggiornare il livello di accesso utilizzando gcloud CLI o l'API.

    3. Utilizza l'opzione Se la condizione viene soddisfatta, restituisci per specificare se la condizione deve richiedere che una richiesta soddisfi tutti gli attributi specificati (TRUE) o se la richiesta deve soddisfare qualsiasi altro attributo (FALSE).

      Ad esempio, se vuoi negare le richieste provenienti da un determinato intervallo di indirizzi IP della tua rete, specifica l'intervallo di indirizzi IP utilizzando l'attributo Subnet IP e imposta la condizione su FALSE.

    4. Facoltativamente, fai clic su Aggiungi un'altra condizione per aggiungere un'altra condizione al livello di accesso e poi ripeti i due passaggi precedenti.

      Ad esempio, se vuoi negare l'accesso a un sottoinsieme di indirizzi IP all'interno di un intervallo di indirizzi IP più ampio, crea una nuova condizione, specifica l'intervallo di indirizzi IP del sottoinsieme per l'attributo Subnet IP e imposta la condizione in modo che restituisca FALSE.

      Ripeti questo passaggio per aggiungere più condizioni allo stesso livello di accesso.

    5. Se hai creato più di una condizione, utilizza Combina condizione con per specificare se il livello di accesso deve richiedere una richiesta che soddisfi almeno una delle condizioni (OR) o tutte le condizioni (AND).

    6. Fai clic su Salva.

gcloud

Prima di iniziare

Per creare un livello di accesso utilizzando lo strumento a riga di comando gcloud, utilizza il comando gcloud access-context-manager levels create.

gcloud access-context-manager levels create LEVEL_NAME OPTIONS \
    --policy=POLICY

Dove:

  • LEVEL_NAME è il nome univoco del livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • OPTIONS sono le opzioni obbligatorie riportate nella tabella seguente.

    Opzioni
    basic-level-spec

    Un file YAML che specifica una o più condizioni per il livello di accesso.

    title

    Un titolo breve per il livello di accesso. Il titolo del livello di accesso viene visualizzato nella console Google Cloud .

    combine-function

    (Facoltativo) Determina in che modo vengono combinate le condizioni.

    Valori validi: AND, OR

    description

    (Facoltativo) Una descrizione dettagliata del livello di accesso.

  • POLICY è l'ID del criterio di accesso della tua organizzazione. Se hai impostato un criterio predefinito, questo parametro è facoltativo.

Se vuoi, puoi includere uno dei flag a livello di gcloud.

File YAML di specifiche di livello base

Quando utilizzi lo strumento a riga di comando gcloud per creare un livello di accesso, devi fornire un file YAML per l'opzione basic-level-spec. Il file YAML definisce una o più condizioni per il livello di accesso. Le condizioni devono contenere almeno un attributo. Quando una condizione contiene più di un attributo, questi vengono combinati come operazione AND (tutti devono essere veri) o come operazione NAND (nessuno può essere vero), a seconda che l'attributo negate sia incluso nella condizione.

Per un elenco completo degli attributi che puoi includere nel file YAML, consulta la sezione sugli attributi del livello di accesso.

Per saperne di più sui livelli di accesso e sul file YAML, consulta l'esempio di file YAML per un livello di accesso.

Comando di esempio

gcloud access-context-manager levels create Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=AND \
    --description='Access level that conforms to corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1521580097614100

API

Prima di iniziare

Per creare un livello di accesso, chiama accessLevels.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

Dove:

  • POLICY è l'ID del criterio di accesso della tua organizzazione.

Corpo della richiesta

Il corpo della richiesta deve includere una risorsa AccessLevel che specifica le condizioni che vuoi per il nuovo livello di accesso. Ogni Condition ha uno o più attributi che vengono valutati come un'operazione AND (tutti devono essere veri) o come un'operazione NAND (nessuno può essere vero) a seconda che il campo negate sia impostato su true. La valutazione risultante determina se la condizione è soddisfatta o meno.

Corpo della risposta

In caso di esito positivo, il corpo della risposta della chiamata contiene una risorsa Operation che fornisce dettagli sull'operazione POST.

Esempi di implementazioni

Gli esempi riportati di seguito illustrano alcuni modi pratici in cui la tua organizzazione potrebbe implementare i livelli di accesso. Questi esempi presuppongono che la tua organizzazione abbia già un criterio di accesso.

Limitare l'accesso su una rete aziendale

Questo esempio descrive come creare una condizione del livello di accesso che consenta l'accesso solo da un intervallo specificato di indirizzi IP (ad esempio quelli all'interno di una rete aziendale).

Se limiti l'intervallo di indirizzi IP a cui è concesso l'accesso, puoi difficoltare l'esfiltrazione dei dati da parte di un malintenzionato all'interno o all'esterno della tua organizzazione.

Per questo esempio, supponiamo che tu voglia creare un livello di accesso che consenta a un gruppo di revisori interni di accedere al servizio Cloud Logging per un progetto denominato dati sensibili. A tutti i dispositivi degli auditor vengono assegnati IP su una subnet compresa tra 203.0.113.0 e 203.0.113.127. Puoi sapere che non verranno assegnati a questa subnet dispositivi diversi da quelli utilizzati dai revisori.

Se vuoi utilizzare un intervallo di indirizzi IP privati (ad esempio 192.168.0.0/16 o 172.16.0.0/12), consulta Consentire l'accesso alle risorse protette da un indirizzo IP interno per ulteriori informazioni e un esempio di implementazione utilizzando i Controlli di servizio VPC.

Console

  1. Apri la pagina Gestore contesto accesso nella console Google Cloud .

    Apri la pagina Gestore contesto accesso

  2. Se ti viene chiesto, seleziona la tua organizzazione.

  3. Nella parte superiore della pagina Access Context Manager, fai clic su Nuovo.

  4. Nel riquadro Nuovo livello di accesso, nella sezione Condizioni, fai clic su Aggiungi attributo e poi su Subnet IP.

  5. Nella casella Subnet IP, seleziona IP pubblico o IP privato.

    • Se selezioni IP pubblico, inserisci uno o più intervalli IPv4 o IPv6 formattati come blocchi CIDR.

      In questo esempio, per limitare l'accesso solo agli auditor, inserisci 203.0.113.0/25 nella casella Subnet IP.

    • Se selezioni IP privato, fai clic su Seleziona reti VPC. Puoi specificare le reti VPC utilizzando una delle tre opzioni disponibile nell'elenco Opzioni di importazione.

      • Opzione 1:

        1. Seleziona Sfoglia le reti VPC nella tua organizzazione e seleziona le reti VPC.

        2. Fai clic su Aggiungi reti VPC selezionate.

        3. Fai clic su Seleziona subnet IP e seleziona le subnet.

        4. Fai clic su Aggiungi subnet IP.

      • Opzione 2:

        1. Seleziona Inserisci manualmente l'indirizzo di rete VPC e inserisci una o più reti VPC.

        2. Fai clic su Aggiungi rete VPC.

        3. Fai clic su Seleziona subnet IP e seleziona le subnet.

        4. Fai clic su Aggiungi subnet IP.

      • Opzione 3:

        1. Seleziona Carica file CSV (sovrascrive le reti esistenti).

          Se utilizzi un file CSV per aggiungere reti e subnet VPC a un livello di accesso, Gestore contesto accesso sovrascrive le reti e le subnet VPC selezionate in precedenza.

        2. Fai clic su Sfoglia e carica il file CSV. Nel file CSV, devi specificare le reti e le subnet VPC nel seguente formato:

          VPC_NETWORK_NAME_1       | IP_RANGE_1       | IP_RANGE_2       | ...
          VPC_NETWORK_NAME_2       | .                | .                | ...
          .                        | .                | .                | ...
          .                        | .                | .                | ...
          
        3. Fai clic su Importa emittenti.

          Utilizzando il file CSV, Gestore contesto accesso compila i nomi della rete VPC e le informazioni sulle subnet rispettivamente nelle caselle Indirizzo rete VPC e Subnet IP.

      Per informazioni sul nome della rete VPC e sul formato dell'indirizzo IP privato, consulta Utilizzare l'indirizzo IP interno nei livelli di accesso.

  6. Fai clic su Salva.

gcloud

  1. Crea un file YAML per un livello di accesso che includa uno o più intervalli IPv4 o IPv6 formattati come blocchi CIDR.

    In questo esempio, per limitare l'accesso solo agli auditor, devi inserire quanto segue nel file YAML:

    - ipSubnetworks:
      - 203.0.113.0/25
    

    Se vuoi utilizzare un indirizzo IP privato, devi inserire le seguenti informazioni nel file YAML:

    - vpcNetworkSources:
      - vpcSubnetwork:
          network: VPC_NETWORK_NAME
          vpcIpSubnetworks:
          - IP_RANGE
    

    Sostituisci VPC_NETWORK_NAME e IP_RANGE con i valori descritti nella sezione Utilizzare l'indirizzo IP interno nei livelli di accesso.

  2. Salva il file. In questo esempio, il file è denominato CONDITIONS.yaml.

  3. Crea il livello di accesso.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY

    Dove:

    • NAME è il nome univoco del livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.

    • TITLE è un titolo leggibile. Deve essere univoco per il dispositivo.

    • POLICY è l'ID del criterio di accesso della tua organizzazione. Se hai impostato un criterio predefinito, questo parametro è facoltativo.

    Dovresti visualizzare un output simile al seguente:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Crea un corpo della richiesta per creare una risorsa AccessLevel che includa uno o più intervalli IPv4 o IPv6 formattati come blocchi CIDR.

    In questo esempio, per limitare l'accesso solo agli auditor, devi inserire quanto segue nel corpo della richiesta:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "ipSubnetworks": [
             "203.0.113.0/25"
           ]
         }
       ]
     }
    }

    Dove:

    • NAME è il nome univoco del livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.

    • TITLE è un titolo leggibile. Deve essere univoco per il galateo.

    Se vuoi utilizzare un indirizzo IP privato, devi inserire le seguenti informazioni nel corpo della richiesta:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "vpcNetworkSources": [
            {
              "vpcSubnetwork": {
                "network": VPC_NETWORK_NAME,
                "vpcIpSubnetworks": [
                  IP_RANGE
                ]
              }
            }
           ]
         }
       ]
     }
    }

    Sostituisci VPC_NETWORK_NAME e IP_RANGE con i valori descritti nella sezione Utilizzare l'indirizzo IP interno nei livelli di accesso.

  2. Crea il livello di accesso chiamando accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
    

    Dove:

    • POLICY è l'ID del criterio di accesso della tua organizzazione.

Limitare l'accesso in base agli attributi del dispositivo

Questo esempio descrive come creare un livello di accesso che concede l'accesso solo ai dispositivi che soddisfano un insieme specificato di requisiti, ad esempio una determinata versione del sistema operativo.

Le informazioni sui dispositivi vengono fornite a Gestore contesto accesso utilizzando Verifica endpoint. Per determinare se concedere l'accesso, è possibile verificare i seguenti criteri:

  • Il blocco schermo è attivo
  • La crittografia dello spazio di archiviazione è attiva
  • Sul dispositivo è in esecuzione un tipo e una versione del sistema operativo specificati

Per questo esempio, supponiamo che la tua organizzazione utilizzi solo computer su cui è installato ChromeOS o Windows. Per aggiungere un livello di sicurezza, devi creare un livello di accesso che impedisca l'accesso a chiunque utilizzi altri sistemi operativi. Inoltre, per gestire il rischio, devi assicurarti che solo determinate versioni dei sistemi operativi possano ottenere l'accesso.

Console

  1. Apri la pagina Gestore contesto accesso nella console Google Cloud .

    Apri la pagina Gestore contesto accesso

  2. Se ti viene chiesto, seleziona la tua organizzazione.

  3. Nella parte superiore della pagina Access Context Manager, fai clic su Nuovo.

  4. Nel riquadro Nuovo livello di accesso, nella sezione Condizioni, fai clic su Aggiungi attributo e poi su Device Policy.

  5. Aggiungi gli attributi dei criteri relativi ai dispositivi:

    1. Fai clic su Aggiungi criterio di sistema operativo e poi su Criterio di ChromeOS.

    2. Nella casella Versione minima, inserisci la versione minima di ChromeOS che vuoi consentire.

    3. Ripeti i passaggi 1 e 2 per i criteri del sistema operativo Windows.

  6. Fai clic su Salva.

gcloud

  1. Crea un file YAML per un livello di accesso che includa un criterio relativo ai dispositivi con vincoli relativi al sistema operativo.

    In questo esempio, per consentire solo i dispositivi con una versione minima accettabile di ChromeOS e Windows, devi inserire quanto segue nel file YAML:

    - devicePolicy:
        osConstraints:
          - osType: DESKTOP_CHROME_OS
            minimumVersion: 11316.165.0
          - osType: DESKTOP_WINDOWS
            minimumVersion: 10.0.1809
    
  2. Salva il file. In questo esempio, il file è denominato CONDITIONS.yaml.

  3. Crea il livello di accesso.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY

    Dove:

    • NAME è il nome univoco del livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.

    • TITLE è un titolo leggibile. Deve essere univoco per il dispositivo.

    • POLICY è l'ID del criterio di accesso della tua organizzazione. Se hai impostato un criterio predefinito, questo parametro è facoltativo.

    Dovresti visualizzare un output simile al seguente:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Crea un corpo della richiesta per creare una risorsa AccessLevel che includa un criterio del dispositivo con vincoli del sistema operativo.

    In questo esempio, per consentire solo i dispositivi con una versione minima accettabile di ChromeOS e Windows, devi inserire quanto segue nel corpo della richiesta:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "devicePolicy": {
             "osConstraints": [
               {
                 "osType": "DESKTOP_CHROME_OS",
                 "minimumVersion": "11316.165.0"
               },
               {
                 "osType": "DESKTOP_WINDOWS",
                 "minimumVersion": "10.0.1809"
               }
             ]
           {
         }
       ]
     }
    }

    Dove:

    • NAME è il nome univoco del livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.

    • TITLE è un titolo leggibile. Deve essere univoco per il galateo.

  2. Crea il livello di accesso chiamando accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
    

    Dove:

    • POLICY è l'ID del criterio di accesso della tua organizzazione.

Concedi l'accesso in base all'utente o all'account di servizio

La concessione dell'accesso in base all'identità è spesso utile in combinazione con gli account di servizio, ad esempio per consentire a una Cloud Function di accedere ai dati.

Questo esempio descrive come concedere l'accesso a utenti e account di servizio specifici, includendo al contempo i livelli di accesso esistenti per mostrare un esempio di livelli di accesso nidificati. In questo caso, gli utenti specificati sono inclusi in questo livello di accesso indipendentemente dal fatto che soddisfino o meno le condizioni specificate nei livelli di accesso esistenti. Questo nuovo livello di accesso potrebbe essere considerato un livello meno restrittivo rispetto ai livelli di accesso esistenti.

Console

Al momento, la console Google Cloud non supporta l'aggiunta di principali ai livelli di accesso. Se vuoi aggiungere entità ai livelli di accesso, devi utilizzare lo strumento a riga di comando gcloud o l'API.

gcloud

  1. Crea un file YAML contenente una condizione che elenca i principali a cui vuoi fornire l'accesso.

    In questo esempio, vuoi aggiungere l'amministratore di sistema (sysadmin@example.com) e un account di servizio (service@project.iam.gserviceaccount.com).

    - members:
        - user:sysadmin@example.com
        - serviceAccount:service@project.iam.gserviceaccount.com
    
  2. Aggiungi una condizione che elenchi i livelli di accesso esistenti che vuoi includere in questo livello di accesso.

    In questo esempio, supponiamo che i livelli di accesso siano denominati Device_Trust e IP_Trust e che 247332951433 sia il nome del criterio di accesso.

    - members:
        - user:sysadmin@example.com
        - serviceAccount:service@project.iam.gserviceaccount.com
    
    - requiredAccessLevels:
        - accessPolicies/247332951433/accessLevels/Device_Trust
        - accessPolicies/247332951433/accessLevels/IP_Trust
    
  3. Salva il file. In questo esempio, il file si chiama CONDITIONS.yaml.

  4. Crea il livello di accesso utilizzando il comando create.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --combine-function=OR \
       --policy=POLICY

    Dove:

    • NAME è il nome univoco del livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.

    • TITLE è un titolo leggibile. Deve essere univoco per il dispositivo.

    • POLICY è l'ID del criterio di accesso della tua organizzazione. Se hai impostato un criterio predefinito, questo parametro è facoltativo.

    • L'opzione combine-function è impostata su OR. Il valore predefinito, AND, richiede che tutte le condizioni siano soddisfatte prima di concedere un livello di accesso. Il valore OR darà alle entità l'accesso anche se altre condizioni non sono soddisfatte.

    Dovresti visualizzare un output simile al seguente:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Crea un corpo della richiesta per creare una risorsa AccessLevel che includa una condizione che elenca le entità a cui vuoi fornire l'accesso.

    In questo esempio, vuoi aggiungere l'amministratore di sistema (sysadmin@example.com) e un account di servizio (service@project.iam.gserviceaccount.com).

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "members": [
             "user:sysadmin@example.com",
             "serviceAccount:service@project.iam.gserviceaccount.com"
           ]
         }
       ]
     }
    }

    Dove:

    • NAME è il nome univoco del livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.

    • TITLE è un titolo leggibile. Deve essere univoco per il galateo.

  2. Aggiungi una condizione che elenchi i livelli di accesso esistenti che vuoi includere in questo livello di accesso.

    In questo esempio, supponiamo che i livelli di accesso siano denominati Device_Trust e IP_Trust e che 247332951433 sia il nome del criterio di accesso.

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "members": [
             "user:sysadmin@example.com",
             "serviceAccount:service@project.iam.gserviceaccount.com"
           ]
         },
         {
           "requiredAccessLevels": [
             "accessPolicies/247332951433/accessLevels/Device_Trust",
             "accessPolicies/247332951433/accessLevels/IP_Trust"
           ]
         }
       ]
     }
    }
  3. Imposta combiningFunction su OR.

    Il valore predefinito per combiningFunction, AND, richiede che tutte le condizioni siano soddisfatte prima che venga concesso un livello di accesso. Il valore OR darà ai principali l'accesso anche se non vengono soddisfatte altre condizioni, come l'indirizzo IP o quelle ereditate da altri livelli di accesso obbligatori.

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "members": [
             "user:sysadmin@example.com",
             "serviceAccount:service@project.iam.gserviceaccount.com"
           ]
         },
         {
           "requiredAccessLevels": [
             "accessPolicies/247332951433/accessLevels/Device_Trust",
             "accessPolicies/247332951433/accessLevels/IP_Trust"
           ]
         }
       ],
       "combiningFunction": "OR"
     }
    }
  4. Crea il livello di accesso chiamando accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
    

    Dove:

    • POLICY è l'ID del criterio di accesso della tua organizzazione.