使用 Falcon ZTA 数据创建和分配自定义访问权限级别

本文档为您介绍如何使用 Falcon ZTA 数据创建基于设备的自定义访问权限级别,并将这些访问权限级别分配给您的组织资源。

准备工作

  1. 设置 BeyondCorp Enterprise 与 Falcon ZTA 集成
  2. 确保您拥有以下某个 Identity and Access Management 角色:
    • Access Context Manager Admin (roles/accesscontextmanager.policyAdmin)
    • Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
  3. 了解用于为自定义访问权限级别构建通用表达式语言 (CEL) 表达式的对象和属性。如需了解详情,请参阅自定义访问权限级别规范

创建自定义访问权限级别

您可以创建带有一个或多个条件的访问权限级别。如果您希望用户的设备满足多个条件(即“逻辑与”),可以创建包含所有必要条件的访问权限级别。

要使用 Falcon ZTA 提供的数据创建新的自定义访问权限级别,请执行以下操作:

  1. 在 Cloud Console 中,转到 Access Context Manager 页面。

    转到 Access Context Manager
  2. 如果收到提示,请选择您的组织。
  3. Access Context Manager 页面上,点击新建
  4. 新建访问权限级别窗格中,输入以下内容:
    1. 访问权限级别标题字段中,输入访问权限级别的标题。标题最多不能超过 50 个字符,以字母开头,并且只能包含数字、字母、下划线和空格。
    2. 对于在在以下位置创建条件部分,选择高级模式
    3. 条件部分中,输入自定义访问权限级别的表达式。条件必须解析为单个布尔值。

      如需查找您的 CEL 表达式可以使用的 CrowdStrike 字段,可以查看为设备收集的 Falcon ZTA 数据

      以下 CEL 表达式会创建一条规则,该规则仅允许从操作系统评估得分高于 50 的 Falcon ZTA 管理的设备进行访问:

      device.vendors["CrowdStrike"].is_managed_device == true && device.vendors["CrowdStrike"].data["assessment.os"] > 50.0
      有关通用表达式语言 (CEL) 支持和自定义访问权限级别的示例和更多信息,请参阅自定义访问权限级别规范
    4. 点击保存

分配自定义访问权限级别

您可以分配自定义访问权限级别,以控制对应用的访问权限。这些应用包括 Google Workspace 应用,以及 Google Cloud 上受 Identity-Aware Proxy 保护的应用(也称为受 IAP 保护的资源)。您可以为应用分配一个或多个访问权限级别。如果您选择多个访问权限级别,则用户的设备只需满足其中一个访问权限级别中的条件,即可被授予应用访问权限。

为 Google Workspace 应用分配自定义访问权限级别

通过 Google Workspace 管理员控制台为 Google Workspace 应用分配自定义访问权限级别:

  1. 在管理控制台首页,转到安全>情境感知访问权限

    转到“情境感知访问权限”
  2. 点击分配访问权限级别

    您会看到一个应用列表。

  3. 单位部门部分中,选择您的单位部门或群组。
  4. 选择要为哪个应用分配访问权限级别,然后点击分配

    访问权限级别分配

    您将看到包含所有访问权限级别的列表。访问权限级别是 Google Workspace、Cloud Identity 和 Google Cloud 之间共用的资源,因此您可能会在列表中看到不是由您创建的访问权限级别。

  5. 为应用选择一个或多个访问权限级别。
  6. 要将访问权限级别应用于桌面和移动应用(以及浏览器)用户,请选择应用于 Google 桌面和移动应用。 此复选框仅适用于内置应用。
  7. 点击保存,然后点击分配。访问权限级别的名称会显示在该应用旁边的已分配访问权限级别的列表中。

为受 IAP 保护的资源分配自定义访问权限级别

要通过 Google Cloud Console 为受 IAP 保护的资源分配自定义访问权限级别,请按照为受 IAP 保护的资源应用访问权限级别中的说明执行操作。