Zugriffsrichtlinien mithilfe von Zugriffsebenen definieren

Auf dieser Seite wird beschrieben, wie Sie kontextsensitive Zugriffsrichtlinien mithilfe von Zugriffsebenen definieren.

Eine Zugriffsebene ist eine Gruppe von Attributen, die Anfragen auf der Grundlage ihres Ursprungs zugewiesen werden. Mithilfe von Kriterien wie Gerätetyp, IP-Adresse oder Nutzeridentität können Sie festlegen, welche Zugriffsebene gewährt werden soll. Beispielsweise können Sie Verbindungen innerhalb Ihres Unternehmensnetzwerks die Ebene High_Trust und externen Geräten, auf denen genehmigte Betriebssysteme ausgeführt werden, die Ebene Medium_Trust zuweisen.

Eine Zugriffsrichtlinie ist ein Container für alle Ihre Access Context Manager-Ressourcen, z. B. Zugriffsebenen und Dienstperimeter.

Weitere Informationen zu Zugriffsebenen und Zugriffsrichtlinien finden Sie in der Access Context Manager-Übersicht.

Hinweise

Beim Definieren einer Zugriffsebene gelten die folgenden Einschränkungen:

  • Sie können keine IP-Adresse als Attribut für Docker-Verbindungen verwenden. Außerdem können Sie keine privaten IP-Adressen verwenden, wenn Sie über kubectl oder eine verwaltete Looker-Instanz eine Verbindung zu privaten Clustern herstellen.
  • Looker Studio hat immer uneingeschränkten Zugriff auf die APIs vonGoogle Cloud , unabhängig von den Access Context Manager-Richtlinien.
  • Geräteattribute sind für OAuth-Clientanwendungen von Drittanbietern nicht verfügbar.

Richtlinie mit Zugriffsebenen definieren

Console

So erstellen Sie eine einfache Zugriffsebene:

  1. Öffnen Sie in der Google Cloud -Console die Seite Access Context Manager.

    Zur Seite „Access Context Manager“

  2. Wählen Sie ein Projekt aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf der Seite Access Context Manager auf Neu.

  4. Führen Sie im Bereich Neue Zugriffsebene die folgenden Schritte aus:

    1. Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene ein. Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.

    2. Klicken Sie im Bereich Bedingungen auf die Schaltfläche Hinzufügen für den Attributtyp, den Sie hinzufügen möchten, und geben Sie dann die Werte ein, die auf dieses Attribut angewendet werden sollen.

      Eine vollständige Liste der Attribute, die Sie hinzufügen können, finden Sie unter Attribute für Zugriffsebenen.

      Wenn auf der Zugriffsebene zum Beispiel berücksichtigt werden soll, woher aus Ihrem Netzwerk eine Anfrage kommt, wählen Sie das Attribut IP-Subnetzwerke aus.

      Wiederholen Sie diesen Schritt, um der gleichen Bedingung mehrere Attribute hinzuzufügen. Wenn eine Bedingung mehrere Attribute hat, müssen alle Attribute von der Zugriffsanfrage erfüllt werden.

      Jede Bedingung einer Zugriffsebene kann jeweils nur einen Attributtyp enthalten. Einige Attribute, beispielsweise das Attribut Geräterichtlinie, enthalten zusätzliche Optionen.

      Zugriffsebenen unterstützen Bedingungen, die auf der Nutzeridentität basieren. Wenn Sie einer Bedingung jedoch Identitäten hinzufügen möchten, müssen Sie die Zugriffsebene mit der gcloud CLI oder der API erstellen oder aktualisieren.

    3. Verwenden Sie die Option Wenn Bedingung erfüllt ist, um anzugeben, ob eine Anfrage auf der Zugriffsebene alle angegebenen Attribute erfüllen muss (TRUE) oder diese festgelegten Attribute nicht erfüllen darf (FALSE).

      Wenn Sie beispielsweise Anfragen aus einem bestimmten IP-Adressbereich Ihres Netzwerks ablehnen möchten, geben Sie den IP-Adressbereich mit dem Attribut IP Subnetworks an und setzen Sie die Bedingung auf FALSE.

    4. Klicken Sie, falls gewünscht, auf Weitere Bedingung hinzufügen, um der Zugriffsebene eine zusätzliche Bedingung hinzuzufügen. Wiederholen Sie dann die beiden vorherigen Schritte.

      Wenn Sie beispielsweise den Zugriff auf eine Teilmenge von IP-Adressen innerhalb eines breiteren IP-Adressbereichs verweigern möchten, erstellen Sie eine neue Bedingung, geben Sie den Teilmengen-IP-Adressbereich für das Attribut IP Subnetworks an und legen Sie die Bedingung so fest, dass sie FALSE zurückgibt.

      Wiederholen Sie diesen Schritt, um einer Zugriffsebene mehrere Bedingungen hinzuzufügen.

    5. Wenn Sie mehrere Bedingungen erstellt haben, verwenden Sie Bedingung mit, um anzugeben, ob Anfragen auf dieser Zugriffsebene mindestens eine der Bedingungen (OR) oder alle Bedingungen (AND) erfüllen müssen.

    6. Klicken Sie auf Speichern.

gcloud

Wenn Sie noch keine Zugriffsrichtlinie für Ihre Organisation haben, erstellen Sie eine, bevor Sie fortfahren.

Verwenden Sie den Befehl gcloud access-context-manager levels create, um eine Zugriffsebene zu erstellen:

gcloud access-context-manager levels create LEVEL_NAME OPTIONS \
    --policy=POLICY

Ersetzen Sie Folgendes:

  • LEVEL_NAME: Der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten. Der Name darf maximal 50 Zeichen lang sein.

  • OPTIONS: Die erforderlichen Optionen aus der folgenden Tabelle.

    Optionen
    basic-level-spec

    YAML-Datei, in der eine oder mehrere Bedingungen für die Zugriffsebene definiert sind.

    title

    Kurzer Titel für die Zugriffsebene; Der Titel der Zugriffsebene wird in der Google Cloud -Console angezeigt.

    combine-function

    (Optional) Legt fest, wie Bedingungen kombiniert werden.

    Gültige Werte: AND, OR

    description

    (Optional) Ausführliche Beschreibung der Zugriffsebene

  • POLICY: Die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.

Optional können Sie beliebige gcloud-Flags angeben.

YAML-Datei für die Option „basic-level-spec“

Wenn Sie mit der gcloud CLI eine Zugriffsebene erstellen, müssen Sie eine YAML-Datei für die Option basic-level-spec angeben. In der YAML-Datei werden eine oder mehrere Bedingungen für die Zugriffsebene definiert. Bedingungen müssen mindestens ein Attribut enthalten. Wenn eine Bedingung mehrere Attribute enthält, werden sie entweder als AND-Vorgang (alle müssen wahr sein) oder als NAND-Vorgang (keins darf wahr sein) kombiniert, je nachdem, ob das negate-Attribut in der Bedingung enthalten ist.

Eine vollständige Liste der Attribute, die Sie in die YAML-Datei aufnehmen können, finden Sie unter Attribute für Zugriffsebenen.

Weitere Informationen über Zugriffsebenen und .yaml-Dateien finden Sie unter YAML-Beispieldatei für eine Zugriffsebene.

Beispielbefehl

gcloud access-context-manager levels create Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=AND \
    --description='Access level that conforms to corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1521580097614100

API

Wenn Sie noch keine Zugriffsrichtlinie für Ihre Organisation haben, erstellen Sie eine, bevor Sie fortfahren.

Rufen Sie zum Erstellen einer Zugriffsebene accessLevels.create auf.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Anfragetext

Der Anfragetext muss eine AccessLevel-Ressource enthalten, die die gewünschten Bedingungen für die neue Zugriffsebene angibt. Jede Condition hat ein oder mehrere Attribute, die je nachdem, ob das Feld negate auf true festgelegt ist, als AND-Operation (alle müssen wahr sein) oder als NAND-Operation (keines darf wahr sein) ausgewertet werden. Anhand der resultierenden Auswertung wird ermittelt, ob die Bedingung erfüllt ist oder nicht.

Antworttext

Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang POST.

Gängige Richtlinienkonfigurationen

In den folgenden Beispielen werden einige praktische Möglichkeiten beschrieben, mit denen Sie Zugriffsebenen für eine Organisation implementieren können. In den Beispielen wird davon ausgegangen, dass die Organisation bereits eine Zugriffsrichtlinie hat.

Zugriff auf ein Unternehmensnetzwerk beschränken

In diesem Beispiel wird beschrieben, wie Sie eine Bedingung für eine Zugriffsebene erstellen können, die den Zugriff nur aus einem angegebenen Bereich von IP-Adressen zulässt (z. B. innerhalb eines Unternehmensnetzwerks).

Durch das Einschränken des Bereichs von IP-Adressen, denen Zugriff gewährt wird, können Sie die Datenexfiltration für einen Angreifer innerhalb oder außerhalb der Organisation erschweren.

Angenommen, Sie möchten eine Zugriffsebene erstellen, mit der eine Gruppe interner Prüfer auf den Cloud-Logging-Dienst für ein Projekt mit dem Namen sensible Daten zugreifen kann. Hierfür können Sie den Geräten der Prüfer IP-Adressen zwischen 203.0.113.0 und 203.0.113.127 in einem Subnetz zuweisen. Sie wissen, dass diesem Subnetz keine anderen Geräte als die der Prüfer zugewiesen sind.

Wenn Sie einen Bereich privater IP-Adressen verwenden möchten (z. B. 192.168.0.0/16 oder 172.16.0.0/12), finden Sie unter Zugriff auf geschützte Ressourcen von einer internen IP-Adresse aus zulassen weitere Informationen und eine Beispielimplementierung mit VPC Service Controls.

Console

  1. Öffnen Sie in der Google Cloud -Console den Access Context Manager.

    Zur Seite „Access Context Manager“

  2. Wählen Sie ein Projekt aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie oben auf der Seite Chrome Enterprise Premium auf Neu.

  4. Klicken Sie im Bereich Neue Zugriffsebene im Abschnitt Bedingungen auf Attribut hinzufügen und dort auf IP-Subnetzwerke.

  5. Wählen Sie im Feld IP-Subnetzwerke entweder Öffentliche IP-Adresse oder Private IP-Adresse aus.

    • Wenn Sie Öffentliche IP-Adresse auswählen, geben Sie einen oder mehrere IPv4- oder IPv6-Bereiche als CIDR ein.

      In diesem Beispiel geben Sie in das Feld IP-Subnetzwerke 203.0.113.0/25 ein, um den Zugriff auf die Prüfer zu beschränken.

    • Wenn Sie Private IP auswählen, klicken Sie auf VPC-Netzwerke auswählen. Sie können VPC-Netzwerke mit einer der drei Optionen in der Liste Importoptionen angeben.

      • Option 1:

        1. Wählen Sie VPC-Netzwerke in Ihrer Organisation suchen und dann die VPC-Netzwerke aus.

        2. Klicken Sie auf Ausgewählte VPC-Netzwerke hinzufügen.

        3. Klicken Sie auf IP-Subnetzwerke auswählen und wählen Sie die Subnetze aus.

        4. Klicken Sie auf IP-Subnetze hinzufügen.

      • Option 2:

        1. Wählen Sie VPC-VPC-Netzwerk manuell eingeben aus und geben Sie ein oder mehrere VPC-Netzwerke ein.

        2. Klicken Sie auf VPC-Netzwerk hinzufügen.

        3. Klicken Sie auf IP-Subnetzwerke auswählen und wählen Sie die Subnetze aus.

        4. Klicken Sie auf IP-Subnetze hinzufügen.

      • Option 3:

        1. Wählen Sie CSV-Datei hochladen (überschreibt bestehende Netzwerke) aus.

          Wenn Sie einer Zugriffsebene mit einer CSV-Datei VPC-Netzwerke und ‑Subnetze hinzufügen, werden die zuvor ausgewählten VPC-Netzwerke und ‑Subnetze von Access Context Manager überschrieben.

        2. Klicken Sie auf Durchsuchen und laden Sie die CSV-Datei hoch. In der CSV-Datei müssen Sie die VPC-Netzwerke und Subnetze im folgenden Format angeben:

          VPC_NETWORK_NAME_1       | IP_RANGE_1       | IP_RANGE_2       | ...
          VPC_NETWORK_NAME_2       | .                | .                | ...
          .                        | .                | .                | ...
          .                        | .                | .                | ...
          
        3. Klicken Sie auf Netzwerke importieren.

          Anhand der CSV-Datei füllt Access Context Manager die VPC-Netzwerknamen und ‑Subnetzinformationen in den Feldern VPC-Netzwerkadresse und IP-Subnetze aus.

      Informationen zum Namen des VPC-Netzwerk und zum Format der privaten IP-Adresse finden Sie unter Interne IP-Adresse in Zugriffsebenen verwenden.

  6. Klicken Sie auf Speichern.

gcloud

  1. Erstellen Sie eine YAML-Datei für eine Zugriffsebene und legen Sie dort einen oder mehrere Bereiche von IPv4- oder IPv6-Adressen fest, die als CIDR formatiert sind.

    In diesem Beispiel geben Sie Folgendes in die YAML-Datei ein, um den Zugriff nur auf die Prüfer zu beschränken:

    - ipSubnetworks:
      - 203.0.113.0/25
    

    Wenn Sie eine private IP-Adresse verwenden möchten, müssen Sie die folgenden Informationen in die YAML-Datei eingeben:

    - vpcNetworkSources:
      - vpcSubnetwork:
          network: VPC_NETWORK_NAME
          vpcIpSubnetworks:
          - IP_RANGE
    

    Ersetzen Sie VPC_NETWORK_NAME und IP_RANGE durch die Werte, die im Abschnitt Interne IP-Adresse in Zugriffsebenen verwenden beschrieben sind.

  2. Speichern Sie die Datei. In diesem Beispiel hat die Datei den Namen CONDITIONS.yaml.

  3. Erstellen Sie die Zugriffsebene.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY

    Ersetzen Sie Folgendes:

    • NAME: Der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

    • TITLE: Ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

    • POLICY: Die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.

    Die Ausgabe sollte in etwa so aussehen:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource und legen Sie dort einen oder mehrere Bereiche von IPv4- oder IPv6-Adressen fest, die als CIDR-Blöcke formatiert sind.

    In diesem Beispiel geben Sie Folgendes in den Anfragetext ein, um den Zugriff nur auf die Prüfer zu beschränken:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "ipSubnetworks": [
             "203.0.113.0/25"
           ]
         }
       ]
     }
    }

    Ersetzen Sie Folgendes:

    • NAME: Der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

    • TITLE: Ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

    Wenn Sie eine private IP-Adresse verwenden möchten, müssen Sie die folgenden Informationen in den Anfragetext eingeben:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "vpcNetworkSources": [
            {
              "vpcSubnetwork": {
                "network": VPC_NETWORK_NAME,
                "vpcIpSubnetworks": [
                  IP_RANGE
                ]
              }
            }
           ]
         }
       ]
     }
    }

    Ersetzen Sie VPC_NETWORK_NAME und IP_RANGE durch die Werte, die im Abschnitt Interne IP-Adresse in Zugriffsebenen verwenden beschrieben sind.

  2. Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
    

    POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Nachdem Sie die Zugriffsebene erstellt haben, müssen Sie sie mit einer Zugriffsbindung anwenden, damit sie erzwungen wird.

Zugriff nach Geräteattributen beschränken

In diesem Beispiel wird beschrieben, wie Sie eine Zugriffsebene erstellen, die nur Geräten Zugriff gewährt, die bestimmte Anforderungen erfüllen, z. B. eine bestimmte Betriebssystemversion haben.

Gerätedaten werden für Chrome Enterprise Premium mithilfe der Endpunktprüfung bereitgestellt. Sie können den Zugriff von folgenden Kriterien abhängig machen:

  • Bildschirmsperre ist aktiviert
  • Speicherverschlüsselung ist aktiviert
  • Typ und Version des Betriebssystems, das auf dem Gerät ausgeführt wird

Nehmen Sie für dieses Beispiel an, dass in Ihrer Organisation nur Computer verwendet werden, auf denen ChromeOS oder Windows installiert ist. Sie möchten eine Sicherheitsebene einfügen und dafür eine Zugriffsebene erstellen, die den Zugriff von Personen verhindert, die andere Betriebssysteme verwenden. Für das Risikomanagement möchten Sie außerdem, dass nur Geräte mit bestimmten Versionen der Betriebssysteme Zugriff erhalten.

Console

  1. Öffnen Sie in der Google Cloud -Console die Seite „Access Context Manager“.

    Zur Seite „Access Context Manager“

  2. Wählen Sie ein Projekt aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie oben auf der Seite Chrome Enterprise Premium auf Neu.

  4. Klicken Sie im Bereich Neue Zugriffsebene im Abschnitt Bedingungen auf Attribut hinzufügen und dort auf Geräterichtlinie.

  5. Legen Sie die Attribute für die Geräterichtlinie fest:

    1. Klicken Sie auf Richtlinie für Betriebssystem hinzufügen und dann auf Richtlinie für Chrome OS.

    2. Geben Sie in das Feld Mindestversion die Mindestversion von ChromeOS ein, die Sie zulassen möchten.

    3. Wiederholen Sie die Schritte 1 und 2 für die Richtlinie für Windows Betriebssystem.

  6. Klicken Sie auf Speichern.

gcloud

  1. Erstellen Sie eine YAML-Datei für eine Zugriffsebene, die eine Geräterichtlinie mit Betriebssystemeinschränkungen enthält.

    In diesem Beispiel geben Sie Folgendes in die YAML-Datei ein, um nur Geräte mit der festgelegten Mindestversion von ChromeOS und Windows zuzulassen:

    - devicePolicy:
        osConstraints:
          - osType: DESKTOP_CHROME_OS
            minimumVersion: 11316.165.0
          - osType: DESKTOP_WINDOWS
            minimumVersion: 10.0.1809
    
  2. Speichern Sie die Datei. In diesem Beispiel hat die Datei den Namen CONDITIONS.yaml.

  3. Erstellen Sie die Zugriffsebene.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY

    Ersetzen Sie Folgendes:

    • NAME: Der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

    • TITLE: Ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

    • POLICY: Die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.

    Die Ausgabe sollte in etwa so aussehen:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource, die eine Geräterichtlinie mit Betriebssystemeinschränkungen enthält.

    In diesem Beispiel geben Sie Folgendes in den Anfragetext ein, um nur Geräte mit der festgelegten Mindestversion von ChromeOS und Windows zuzulassen:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
           "devicePolicy": {
             "osConstraints": [
               {
                 "osType": "DESKTOP_CHROME_OS",
                 "minimumVersion": "11316.165.0"
               },
               {
                 "osType": "DESKTOP_WINDOWS",
                 "minimumVersion": "10.0.1809"
               }
             ]
           {
         }
       ]
     }
    }

    Ersetzen Sie Folgendes:

    • NAME: Der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

    • TITLE: Ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

  2. Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
    

    POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Nachdem Sie die Zugriffsebene erstellt haben, müssen Sie sie mit einer Zugriffsbindung anwenden, damit sie erzwungen wird.

Zugriff auf vertrauenswürdige Unternehmensgeräte mit gültigen Zertifikaten beschränken

Mit dem zertifikatbasierten Zugriff (Certificate-Based Access, CBA) können Sie verifizierte X.509-Zertifikate für den Zugriff auf Google Cloud--Ressourcen anfordern. Die zusätzlichen Anmeldedaten sorgen für ein stärkeres Signal der Geräteidentität und helfen, Ihre Organisation vor Anmeldedatendiebstahl oder versehentlichem Verlust zu schützen, da vor dem Gewähren des Zugriffs sowohl die Anmeldedaten des Nutzers als auch das ursprüngliche Gerätezertifikat vorliegen müssen.

Bevor Sie fortfahren, prüfen Sie, ob die Chrome-Erweiterung „Endpunktprüfung“ und die Hilfsanwendung „Endpunktprüfung“ auf allen Geräten bereitgestellt sind, die Zugriff auf Ressourcen vonGoogle Cloud benötigen. Diese werden zu vertrauenswürdigen Geräten, denen Sie Zugriff gewähren können. Weitere Informationen finden Sie unter Endpunktprüfung für den ‑basierten Zugriff bereitstellen.

Wenn Sie eine Richtlinie erstellen möchten, für die ein zertifikatbasierter Zugriff erforderlich ist, benötigen Sie eine Zugriffsebene mit einer benutzerdefinierten Zugriffsebenenspezifikation.

Console

  1. Öffnen Sie in der Google Cloud -Console die Seite Access Context Manager.

    Zur Seite „Access Context Manager“

  2. Wählen Sie ein Projekt aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf Zugriffsebene erstellen.

  4. Wählen Sie im Bereich Neue Zugriffsebene die Option Erweiterter Modus aus. Sie benötigen eine Chrome Enterprise Premium-Lizenz, um diesen Modus verwenden zu können.

  5. Geben Sie im Bereich Bedingungen den folgenden Ausdruck in das Feld CEL-Ausdruck ein.

    certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE
    
  6. Klicken Sie auf Speichern.

gcloud

  1. Erstellen Sie eine YAML-Datei für eine Zugriffsebene, die die Zertifikatsdurchsetzung enthält.

    expression: "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE"
    
  2. Speichern Sie die Datei. In diesem Beispiel hat die Datei den Namen CONDITIONS.yaml.

  3. Erstellen Sie die Zugriffsebene.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY

Ersetzen Sie Folgendes:

  • NAME: Der eindeutige Name für die Zugriffsebene. Der Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

  • TITLE: Ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

  • POLICY: Die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.

Die Ausgabe sollte in etwa so aussehen:

Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1234] to complete...done.
Created level NAME.

API

  1. Erstellen Sie eine Anfragetextdatei für eine Zugriffsebene, die eine Geräterichtlinie mit Betriebssystemeinschränkungen enthält.

    {
     "name": "require_certificate",
     "title": "Certificate-Based Access",
     "description": "An example certificate-based access level.",
     "custom": {
       "expr": {
         "expression": "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE",
         "title": "Require a valid certificate",
         "description": "Permits requests from a device with a valid mTLS certificate."
        }
      }
    }
  2. Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
    

    POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Nachdem Sie die Zugriffsebene erstellt haben, müssen Sie sie mit einer Zugriffsbindung anwenden, damit sie erzwungen wird.