Tanium のデータを使用してカスタム アクセスレベルを作成して割り当てる

このドキュメントでは、Tanium のデータを使用してデバイスベースのカスタム アクセスレベルを作成し、それらのアクセスレベルを組織リソースに割り当てる方法について説明します。

始める前に

  1. BeyondCorp Enterprise と Tanium の統合を設定します
  2. 次のいずれかの Identity and Access Management ロールがあることを確認します。
    • Access Context Manager 管理者(roles/accesscontextmanager.policyAdmin
    • Access Context Manager 編集者(roles/accesscontextmanager.policyEditor
  3. カスタム アクセスレベルの Common Expression Language(CEL)式のビルドに使用されるオブジェクトと属性について詳しく説明します。詳細については、カスタム アクセスレベルの仕様をご覧ください。

カスタム アクセスレベルを作成する

アクセスレベルは、1 つ以上の条件を指定して作成できます。ユーザー デバイスが複数の条件(条件の論理 AND)を満たすようにする場合は、必要なすべての条件を含むアクセスレベルを作成します。

Tanium から提供されたデータを使用して新しいカスタム アクセスレベルを作成する方法は次のとおりです。

  1. Cloud Console で [Access Context Manager] ページに移動します。

    Access Context Manager に移動
  2. プロンプトが表示されたら、組織を選択します。
  3. [Access Context Manager] ページで [新規] をクリックします。
  4. [新しいアクセスレベル] ペインに、次のように入力します。
    1. [アクセスレベルのタイトル] フィールドに、アクセスレベルのタイトルを入力します。タイトルは最大 50 文字です。先頭は英字にしてください。その後には、数字、英字、アンダースコア、スペースのみ使用できます。
    2. [条件の作成] セクションで、[詳細モード] を選択します。
    3. [条件] セクションで、カスタム アクセスレベルの式を入力します。条件は、1 つのブール値に解決される必要があります。

      CEL 式で使用できる Tanium フィールドを確認するには、デバイスで収集された Tanium データを確認します。

      次の CEL 式では、最新のコンプライアンス スキャンで、重大度の高い脆弱性がない Tanium が管理するデバイスからのみアクセスを許可するルールを作成します。

      device.vendors["Tanium"].is_managed_device == true && device.vendors["Tanium"].data["vulnerabilities.countHigh"] == 0.0
      Common Expression Language(CEL)のサポートとカスタム アクセスレベルの例と詳細については、カスタム アクセスレベルの仕様をご覧ください。
    4. [保存] をクリックします。

カスタム アクセスレベルを割り当てる

カスタム アクセスレベルを割り当てて、アプリケーションへのアクセスを制御できます。これらのアプリケーションには、Google Workspace アプリと、Google Cloud 上の Identity-Aware Proxy によって保護されているアプリケーション(IAP で保護されたリソース)が含まれます。アプリには 1 つ以上のアクセスレベルを割り当てることができます。複数のアクセスレベルを選択した場合、ユーザーのデバイスは、アプリへのアクセス権を付与するアクセスレベルの 1 つの条件を満たすだけで済みます。

Google Workspace アプリケーションのカスタム アクセスレベルを割り当てる

Google Workspace 管理コンソールから Google Workspace アプリケーションのカスタム アクセスレベルを割り当てます。

  1. 管理コンソールのホームページから、[セキュリティ] > [コンテキストアウェア アクセス] に移動します。

    [コンテキストアウェア アクセス] に移動
  2. [アクセスレベルの割り当て] をクリックします。

    アプリの一覧が表示されます。

  3. [組織部門] セクションで、組織部門またはグループを選択します。
  4. アクセスレベルを割り当てるアプリを選択し、[割り当て] をクリックします。

    アクセスレベルの割り当て

    アクセスレベルの一覧が表示されます。アクセスレベルは Google Workspace、Cloud Identity、Google Cloud の共有リソースであるため、リストに作成していないアクセスレベルが表示されることがあります。

  5. アプリに割り当てるアクセスレベルを選択します(複数選択可)。
  6. デスクトップとモバイルアプリ(およびブラウザ)のユーザーにアクセスレベルを適用するには、[Google デスクトップとモバイルアプリに適用] を選択します。このチェックボックスは、組み込みアプリにのみ適用されます。
  7. [保存] をクリックして、[割り当て] をクリックします。アクセスレベル名は、アプリの横にある [割り当てられたアクセスレベル] リストに表示されます。

IAP で保護されたリソースのカスタム アクセスレベルを割り当てる

Google Cloud Console から IAP で保護されたリソースのカスタム アクセスレベルを割り当てるには、IAP で保護されたリソースのアクセスレベルの適用の手順に従います。