總覽

Access Context Manager 可讓 Google Cloud Platform (GCP) 機構管理員依屬性定義精細的存取權限,以利控管 GCP 中的專案和資源。

管理員先定義存取權政策,這是適用於全機構的存取層級和存取區域容器。

存取層級描述接受要求的必要需求,範例如下:

  • 裝置類型和作業系統
  • IP 位址
  • 使用者身分

存取區域可定義資源沙箱機制,讓各資源能在區域內自由交換資料,但不能將資料匯出至區域之外。目前只有受邀對象能使用存取區域。如果您的應用程式不在許可清單內,則嘗試呼叫存取區域 API 將會導致錯誤。

Access Context Manager 並不負責執行政策,而是用來描述需要的規則。您可透過不同點 (例如 VPC Service Controls) 來設定和強制執行政策。如要進一步瞭解相關服務,請參閱各服務的使用者指南。

為什麼要使用 Access Context Manager?

許多公司都會仰賴範圍安全性模型 (例如防火牆) 來保護內部資源的安全。這種模型就像中世紀的城堡,是一座具有厚重城牆的堡壘,四周有護城河,且每個出入口都戒備森嚴。城牆外的任何外來物都視為危險不可靠,只有牆內的東西才可以信賴。

假如特定使用者和服務有明確的界線,那麼防火牆和範圍安全性模型就可以完美搭配運作。但如果面臨的是行動使用者,隨著自攜裝置和雲端服務的普及,裝置也會越來越多元;這就會衍生出範圍模型未顧及的其他攻擊向量。範圍不再侷限於企業的實體據點,而內部的資料也無法再視為安全無虞。

Access Context Manager 可讓您縮小授權網路的範圍,並移至端點不是根據網路來取得環境授權的模型。事實上,您可根據裝置類型和使用者身分來授予存取權,也可視需要檢查公司網路的存取權。

Access Context Manager 是 Google BeyondCorp 不可或缺的功能。詳情請參閱 BeyondCorp

存取權政策

存取權政策是存取層級的容器,一個政策可包含多個存取層級。

Access Context Manager 是適用全機構的功能;舉例來說,您為專案建立用來指定配額的存取權政策不只適用於該專案,也能在整個機構的其他任何地方使用。

如要瞭解如何建立存取權政策,請參閱快速入門導覽課程

存取層級

存取層級是一組根據要求來源而指派給要求的屬性。您可以依據裝置類型、IP 位址或使用者身分等資訊來指派要授予的存取層級。舉例來說,您可針對公司內部連線指派「High_Trust」層級,而執行已核准作業系統的外部裝置則可指派「Medium_Trust」信任關係。

等您定義存取層級後,強制執行服務就會根據這些層級來判定是否接受要求。舉例來說,您可以為很多資源指派「Medium_Trust」層級,但有些比較敏感的資源則需要「High_Trust」層級。除了標準 Cloud IAM 政策,系統也會套用這些檢查。

您可以自訂存取層級 (例如「High_Trust」和「Medium_Trust」),也可在同一個存取權政策內指定多個存取層級。

IP 位址

您可根據來源要求的 IP 位址授予存取層級。請依無類別跨網域路由 (CIDR) 區塊格式來指定允許的 IP 範圍,這種格式簡易明瞭同時又能讓您精細控管 IP。

一個存取層級可包含多個 IP 範圍。

如要瞭解如何建立只允許從特定 IP 位址範圍 (例如公司網路內的 IP 位址) 存取的存取層級條件,請參閱「為公司網路的存取作業建立存取層級」一文。

裝置類型

Access Context Manager 使用端點驗證來收集有關使用者裝置的資訊,包括作業系統和版本。您可根據這些資料來授予存取層級;舉例來說,假如裝置執行的是您公司部署的主要作業系統的最新版本,則可授予較寬鬆的存取層級。

如要進一步瞭解如何為特定裝置授予存取層級,請參閱「為使用者裝置建立存取層級」一文。

使用者身分

在某些情況下,您可能會想授予存取層級給特定實體;如果是這樣,系統會判斷呼叫者的身分識別是否符合條件。

通常這會搭配服務帳戶和 VPC Service Controls 使用。舉例來說,如要允許 Cloud 函式存取受 VPC Service Controls 保護的資料,就可以採取這個做法。

您只能使用 gcloud 指令列工具來建立和管理僅限身分識別的存取層級,無法透過 Google Cloud Platform 主控台進行。

如要瞭解如何使用身分識別和存取層級,請參閱「在具有網路的存取層級中納入身分識別」。

合併條件

一個存取層級可包含多個條件,您可使用 ANDOR 運算子來評估條件。此外,您建立或更新存取層級時可以指定模式。

AND 是比較嚴格的限制選項 (預設),只有在所有條件都符合時才會授予存取層級。舉例來說,您可指定要求必須來自公司網路內部「And (以及)」來自執行最新版作業系統的裝置。

OR 的限制比較少,眾多條件中只要有其中一項符合,就能授予存取層級。處理使用者身分識別時這個運算子滿實用的;舉例來說,如要在一般要求中排除特定實體 (例如服務帳戶) 就可以使用 OR。

巢狀條件

您可以使條件形成巢狀結構,也就是讓條件依附於其他條件。舉例來說,如果您有「Medium」(中) 和「High」(高) 信任關係這兩個存取層級,則可將「High」(高) 需求設為必須符合「Medium」(中) 及其他條件。

巢狀條件讓存取層級的管理作業更便利。舉例來說,假設您最寬鬆的存取層級包含最低作業系統版本,且更嚴格的層級依附於這個層級,您日後要更新最低版本,只要更新一個條件就好,不用將政策中的每個存取層級都更新。

瞭解詳情

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Access Context Manager