将 Chrome Enterprise Premium 应用于云资源

本页面介绍将 Chrome Enterprise 进阶版应用到 Google Cloud 资源和本地资源的简要步骤。

如需了解 Chrome Enterprise 进阶版如何使用其他 Google Cloud 产品,请参阅 Chrome Enterprise 进阶版访问权限保护概览

准备工作

在将应用和资源设为情境感知之前,您需要执行以下操作:

  1. 如果贵组织中还没有 Cloud Identity 用户账号,请创建一些 Cloud Identity 账号

  2. 确定要保护的资源。如果您没有资源,请配置以下一项。

    • 在 Google Cloud 上的 HTTPS 负载平衡器后面运行的网页应用。这包括 App Engine 应用、本地运行的应用以及在其他云中运行的应用。
    • Google Cloud 上的虚拟机。
  3. 确定要授予并限制访问的主账号。

如果您对保护 Google Workspace 应用感兴趣,请参阅 Google Workspace Chrome Enterprise 进阶版概览

使用 IAP 保护应用和资源

Identity-Aware Proxy (IAP) 为应用建立集中的身份感知层,并 HTTPS 和 TCP 访问的资源这意味着您可以控制对个别应用和资源的访问,而不是使用网络级防火墙。

选择以下指南之一来保护您的 Google Cloud 应用及其所有资源:

您还可以将 IAP 扩展到非 Google Cloud 环境(如本地和其他云端)。如需了解详情,请参阅保护本地应用指南。

如需了解详情,请参阅IAP 文档

虚拟机资源

通过设置隧道资源权限和创建用于通过 IAP 将 TCP 流量路由到虚拟机实例的隧道,您可以控制对后端上 SSH 和 RDP 等管理服务的访问。

要保护虚拟机,请参阅保护虚拟机指南。

使用 Access Context Manager 创建访问权限级别

使用 IAP 保护应用和资源后,就可以使用访问权限级别设置更丰富的访问权限政策。

Access Context Manager 创建访问权限级别。访问权限级别可以根据以下属性限制访问:

按照创建访问权限级别指南创建访问权限级别。

应用访问权限级别

访问权限级别只有在应用于受 IAP 保护的资源的身份和访问权限管理 (IAM) 政策才会生效。要执行此步骤,请在用于授予对资源的访问权限的 IAP 角色上添加 IAM 条件

要应用访问权限级别,请参阅应用访问权限级别

应用访问权限级别后,资源即受到 Chrome Enterprise 进阶版的保护。

使用端点验证实现设备信任和安全

为了进一步增强受 Chrome Enterprise Premium 保护的资源的安全性, 您可以应用基于设备的信任和安全访问权限控制属性 访问权限级别。 端点验证支持此控制。

端点验证是用于 Windows、Mac 和 Chrome 操作系统设备的 Chrome 扩展程序。Access Context Manager 引用端点验证收集的设备属性,以使用访问权限级别进行精细的访问权限控制。

按照端点验证快速入门为贵组织设置端点验证。

后续步骤