Questa pagina spiega come definire criteri di accesso sensibile al contesto utilizzando i livelli di accesso.
Un livello di accesso
è un insieme di attributi assegnati alle richieste in base alla loro origine. Utilizzando
informazioni come tipo di dispositivo, indirizzo IP e identità utente, puoi
designare il livello di accesso da concedere. Ad esempio, potresti assegnare un livello
High_Trust alle connessioni dall'interno della rete aziendale e un livello
Medium_Trust ai dispositivi esterni che eseguono sistemi operativi approvati.
Un criterio di accesso è un contenitore per tutte le risorse di Gestore contesto accesso, come livelli di accesso e perimetri di servizio.
Per saperne di più sui livelli di accesso e sui criteri di accesso, consulta la panoramica di Gestore contesto accesso.
Limitazioni
Quando definisci un livello di accesso, si applicano le seguenti limitazioni:
- Non puoi utilizzare un indirizzo IP come attributo per le connessioni Docker, né puoi utilizzare indirizzi IP privati quando ti connetti a cluster privati utilizzando
kubectlo un'istanza di Looker gestita. - A Looker Studio è sempre consentito l'accesso senza restrizioni alle APIGoogle Cloud , indipendentemente dai criteri di Gestore contesto accesso.
- Gli attributi del dispositivo non sono disponibili per le applicazioni client OAuth non Google.
- Non puoi utilizzare un livello di accesso con ambito.
Definisci i criteri utilizzando i livelli di accesso
Console
Crea un livello di accesso base:
Nella console Google Cloud , apri la pagina Gestore contesto accesso.
Se ti viene chiesto, seleziona un progetto.
Nella pagina Gestore contesto accesso, fai clic su Nuovo.
Nel riquadro Nuovo livello di accesso:
Nel campo Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.
Nella sezione Condizioni, fai clic sul pulsante Aggiungi per il tipo di attributo da aggiungere, quindi fornisci i valori da applicare all'attributo.
Per un elenco completo degli attributi che puoi aggiungere, vedi Attributi del livello di accesso.
Ad esempio, se vuoi che il livello di accesso tenga conto della provenienza di una richiesta all'interno della tua rete, seleziona l'attributo Subnet IP.
Ripeti questo passaggio per aggiungere più attributi alla stessa condizione. Quando una condizione include più attributi, tutti gli attributi devono essere soddisfatti dalla richiesta di accesso.
Una condizione del livello di accesso può includere un attributo per ogni tipo. Alcuni attributi includono opzioni aggiuntive, come l'attributo Device Policy.
I livelli di accesso supportano le condizioni basate sull'identità utente. Tuttavia, per aggiungere identità a una condizione, devi creare o aggiornare il livello di accesso utilizzando gcloud CLI o l'API.
Utilizza l'opzione Se la condizione viene soddisfatta, restituisci per specificare se la condizione richiede che una richiesta soddisfi tutti gli attributi specificati (TRUE) o se la richiesta deve soddisfare qualsiasi attributo tranne quelli (FALSE).
Ad esempio, se vuoi negare le richieste provenienti da un determinato intervallo di indirizzi IP della tua rete, specifica l'intervallo di indirizzi IP utilizzando l'attributo Subnet IP e poi imposta la condizione su FALSE.
(Facoltativo) Fai clic su Aggiungi un'altra condizione per aggiungere un'altra condizione al livello di accesso e ripeti i due passaggi precedenti.
Ad esempio, se vuoi negare l'accesso a un sottoinsieme di indirizzi IP all'interno di un intervallo di indirizzi IP più ampio, crea una nuova condizione, specifica l'intervallo di indirizzi IP del sottoinsieme per l'attributo Subnet IP e imposta la condizione in modo che restituisca FALSE.
Ripeti questo passaggio per aggiungere più condizioni allo stesso livello di accesso.
Se hai creato più di una condizione, utilizza Combina condizione con per specificare se vuoi che il livello di accesso richieda che una richiesta soddisfi almeno una delle condizioni (OR) o tutte le condizioni (AND).
Fai clic su Salva.
gcloud
Se non hai un criterio di accesso per la tua organizzazione, creane uno prima di continuare.
Utilizza il comando gcloud access-context-manager levels create per creare un livello di accesso:
gcloud access-context-manager levels create LEVEL_NAME OPTIONS \ --policy=POLICY
Sostituisci quanto segue:
LEVEL_NAME: Il nome univoco per il livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.
OPTIONS: le opzioni richieste dalla tabella seguente.
Opzioni basic-level-specUn file YAML che specifica una o più condizioni per il livello di accesso.
titleUn titolo breve per il livello di accesso. Il titolo del livello di accesso viene visualizzato nella console Google Cloud .
combine-function(Facoltativo) Determina in che modo vengono combinate le condizioni.
Valori validi:
AND,ORdescription(Facoltativo) Una descrizione dettagliata del livello di accesso.
POLICY: l'ID della policy di accesso della tua organizzazione. Se hai impostato un criterio predefinito, questo parametro è facoltativo.
Se vuoi, puoi includere uno qualsiasi dei flag gcloud.
file YAML basic-level-spec
Quando utilizzi gcloud CLI per creare un livello di accesso, devi fornire un file YAML per l'opzione basic-level-spec. Il file YAML definisce una o più
condizioni per il livello di accesso. Le condizioni devono contenere almeno un
attributo. Quando una condizione contiene più di un attributo, questi vengono
combinati come operazione AND (tutti devono essere veri) o come operazione NAND (nessuno può essere vero), a seconda che l'attributo negate
sia incluso nella condizione.
Per un elenco completo degli attributi che puoi includere nel file YAML, vedi Attributi del livello di accesso.
Per saperne di più sui livelli di accesso e su YAML, consulta l'esempio di YAML per un livello di accesso.
Comando di esempio
gcloud access-context-manager levels create Device_Trust \
--basic-level-spec=corpdevspec.yaml \
--combine-function=AND \
--description='Access level that conforms to corporate spec.' \
--title='Device_Trust Extended' \
--policy=1521580097614100
API
Se non hai un criterio di accesso per la tua organizzazione, creane uno prima di continuare.
Per creare un livello di accesso, chiama il numero accessLevels.create.
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
POLICY è l'ID del criterio di accesso della tua organizzazione.
Corpo della richiesta
Il corpo della richiesta deve includere una risorsa AccessLevel
che specifica le condizioni che vuoi per il nuovo livello di accesso.
Ogni Condition ha uno o più attributi che vengono
valutati come operazione AND (tutti devono essere veri) o come
operazione NAND (nessuno può essere vero) a seconda che il campo negate
sia impostato su true. La valutazione risultante determina se la
condizione è soddisfatta o meno.
Corpo della risposta
In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa
Operation che fornisce dettagli sull'operazione
POST.
Configurazioni comuni dei criteri
Gli esempi che seguono riguardano alcuni dei modi pratici in cui la tua organizzazione potrebbe voler implementare i livelli di accesso. Gli esempi presuppongono che la tua organizzazione disponga già di un criterio di accesso.
Limitare l'accesso su una rete aziendale
Questo esempio descrive come creare una condizione del livello di accesso che consenta l'accesso solo da un intervallo specificato di indirizzi IP (ad esempio, quelli all'interno di una rete aziendale).
Limitando l'intervallo di indirizzi IP a cui viene concesso l'accesso, puoi rendere più difficile l'esfiltrazione di dati per un utente malintenzionato interno o esterno alla tua organizzazione.
Per questo esempio, supponiamo che tu voglia creare un livello di accesso che consenta a un gruppo di revisori interni di accedere al servizio Cloud Logging per un progetto denominato sensitive-data. A tutti i dispositivi per gli auditor vengono assegnati IP su una subnet compresa tra 203.0.113.0 e 203.0.113.127. Sai che a quella subnet non verranno assegnati altri dispositivi oltre a quelli utilizzati dai revisori.
Se vuoi utilizzare un intervallo di indirizzi IP privati (ad esempio 192.168.0.0/16
o 172.16.0.0/12), consulta Consentire l'accesso alle risorse protette da un indirizzo IP interno per ulteriori
informazioni e un'implementazione di esempio utilizzando Controlli di servizio VPC.
Console
Nella console Google Cloud , apri Gestore contesto accesso.
Se ti viene chiesto, seleziona un progetto.
Nella parte superiore della pagina Chrome Enterprise Premium, fai clic su Nuovo.
Nel riquadro Nuovo livello di accesso, nella sezione Condizioni, fai clic su Aggiungi attributo e poi su Subnet IP.
Nella casella Subnet IP, seleziona IP pubblico o IP privato.
Se selezioni IP pubblico, inserisci uno o più intervalli IPv4 o IPv6 formattati come blocchi CIDR.
In questo esempio, per limitare l'accesso solo ai revisori, inserisci
203.0.113.0/25nella casella Subnet IP.Se selezioni IP privato, fai clic su Seleziona reti VPC. Puoi specificare le reti VPC utilizzando una delle tre opzioni disponibili nell'elenco Opzioni di importazione.
Opzione 1:
Seleziona Sfoglia le reti VPC nella tua organizzazione e seleziona le reti VPC.
Fai clic su Aggiungi reti VPC selezionate.
Fai clic su Seleziona subnet IP e seleziona le subnet.
Fai clic su Aggiungi subnet IP.
Opzione 2:
Seleziona Inserisci manualmente l'indirizzo di rete VPC e inserisci una o più reti VPC.
Fai clic su Aggiungi rete VPC.
Fai clic su Seleziona subnet IP e seleziona le subnet.
Fai clic su Aggiungi subnet IP.
Opzione 3:
Seleziona Carica file CSV (sovrascrive le reti esistenti).
Se utilizzi un file CSV per aggiungere reti VPC e subnet a un livello di accesso, Gestore contesto accesso sovrascrive le reti VPC e le subnet selezionate in precedenza.
Fai clic su Sfoglia e carica il file CSV. Nel file CSV devi specificare le reti VPC e le subnet nel seguente formato:
VPC_NETWORK_NAME_1 | IP_RANGE_1 | IP_RANGE_2 | ... VPC_NETWORK_NAME_2 | . | . | ... . | . | . | ... . | . | . | ...
Fai clic su Importa reti.
Utilizzando il file CSV, Gestore contesto accesso compila i nomi delle reti VPC e le informazioni sulle subnet nelle caselle Indirizzo di rete VPC e Subnet IP rispettivamente.
Per informazioni sul nome della rete VPC e sul formato dell'indirizzo IP privato, consulta Utilizzare l'indirizzo IP interno nei livelli di accesso.
Fai clic su Salva.
gcloud
Crea un file YAML per un livello di accesso che includa uno o più intervalli IPv4 o IPv6 formattati come blocchi CIDR.
In questo esempio, per limitare l'accesso solo ai revisori, devi inserire quanto segue nel file YAML:
- ipSubnetworks: - 203.0.113.0/25Se vuoi utilizzare un indirizzo IP privato, devi inserire le seguenti informazioni nel file YAML:
- vpcNetworkSources: - vpcSubnetwork: network: VPC_NETWORK_NAME vpcIpSubnetworks: - IP_RANGESostituisci VPC_NETWORK_NAME e IP_RANGE con i valori descritti nella sezione Utilizzare l'indirizzo IP interno nei livelli di accesso.
Salva il file. In questo esempio, il file si chiama
CONDITIONS.yaml.Crea il livello di accesso.
gcloud access-context-manager levels create NAME \ --title TITLE \ --basic-level-spec CONDITIONS.yaml \ --policy=POLICY
Sostituisci quanto segue:
NAME: Il nome univoco per il livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.
TITLE: un titolo leggibile. Deve essere univoco per il criterio.
POLICY: l'ID della policy di accesso della tua organizzazione. Se hai impostato un criterio predefinito, questo parametro è facoltativo.
Dovresti vedere un output simile al seguente:
Create request issued for: NAME Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done. Created level NAME.
API
Crea un corpo della richiesta per creare una risorsa
AccessLevelche includa uno o più intervalli IPv4 o IPv6 formattati come blocchi CIDR.In questo esempio, per limitare l'accesso solo ai revisori, devi inserire quanto segue nel corpo della richiesta:
{ "name": "NAME", "title": "TITLE", "basic": { "conditions": [ { "ipSubnetworks": [ "203.0.113.0/25" ] } ] } }
Sostituisci quanto segue:
NAME: Il nome univoco per il livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.
TITLE: un titolo leggibile. Deve essere univoco per il criterio.
Se vuoi utilizzare un indirizzo IP privato, devi inserire le seguenti informazioni nel corpo della richiesta:
{ "name": "NAME", "title": "TITLE", "basic": { "conditions": [ { "vpcNetworkSources": [ { "vpcSubnetwork": { "network": VPC_NETWORK_NAME, "vpcIpSubnetworks": [ IP_RANGE ] } } ] } ] } }
Sostituisci VPC_NETWORK_NAME e IP_RANGE con i valori descritti nella sezione Utilizzare l'indirizzo IP interno nei livelli di accesso.
Crea il livello di accesso chiamando
accessLevels.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
POLICY è l'ID del criterio di accesso della tua organizzazione.
Dopo aver creato il livello di accesso, devi applicarlo utilizzando un'associazione di accesso affinché venga applicato.
Limitare l'accesso in base agli attributi del dispositivo
Questo esempio descrive come creare un livello di accesso che conceda l'accesso solo ai dispositivi che soddisfano un insieme specifico di requisiti, ad esempio una determinata versione del sistema operativo (OS).
Le informazioni sui dispositivi vengono fornite a Chrome Enterprise Premium utilizzando Endpoint Verification. Per determinare se concedere l'accesso, è possibile controllare i seguenti criteri:
- Il blocco schermo è attivato
- La crittografia dell'archiviazione è attivata
- Il dispositivo esegue un tipo e una versione specifici del sistema operativo
Per questo esempio, supponiamo che la tua organizzazione utilizzi solo macchine con ChromeOS o Windows installato. Per aggiungere un livello di sicurezza, vuoi creare un livello di accesso che impedisca l'accesso a chiunque utilizzi altri sistemi operativi. Inoltre, per gestire il rischio, vuoi assicurarti che solo determinate versioni dei sistemi operativi possano ottenere l'accesso.
Console
Nella console Google Cloud , apri la pagina Gestore contesto accesso.
Se ti viene chiesto, seleziona un progetto.
Nella parte superiore della pagina Chrome Enterprise Premium, fai clic su Nuovo.
Nel riquadro Nuovo livello di accesso, nella sezione Condizioni, fai clic su Aggiungi attributo e poi su Device Policy.
Aggiungi gli attributi dei criteri relativi ai dispositivi:
Fai clic su Aggiungi policy del sistema operativo e poi su Policy di ChromeOS.
Nella casella Versione minima, inserisci la versione minima di ChromeOS che vuoi consentire.
Ripeti i passaggi 1 e 2 per Windows OS Policy.
Fai clic su Salva.
gcloud
Crea un file YAML per un livello di accesso che includa un criterio relativo ai dispositivi con vincoli del sistema operativo.
In questo esempio, per consentire solo i dispositivi con una versione minima accettabile di ChromeOS e Windows, devi inserire quanto segue nel file YAML:
- devicePolicy: osConstraints: - osType: DESKTOP_CHROME_OS minimumVersion: 11316.165.0 - osType: DESKTOP_WINDOWS minimumVersion: 10.0.1809Salva il file. In questo esempio, il file si chiama
CONDITIONS.yaml.Crea il livello di accesso.
gcloud access-context-manager levels create NAME \ --title TITLE \ --basic-level-spec CONDITIONS.yaml \ --policy=POLICY
Sostituisci quanto segue:
NAME: Il nome univoco per il livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.
TITLE: un titolo leggibile. Deve essere univoco per il criterio.
POLICY: l'ID della policy di accesso della tua organizzazione. Se hai impostato un criterio predefinito, questo parametro è facoltativo.
Dovresti vedere un output simile al seguente:
Create request issued for: NAME Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done. Created level NAME.
API
Crea un corpo della richiesta per creare una risorsa
AccessLevelche includa una policy del dispositivo con vincoli del sistema operativo.In questo esempio, per consentire solo i dispositivi con una versione minima accettabile di ChromeOS e Windows, devi inserire quanto segue nel corpo della richiesta:
{ "name": "NAME", "title": "TITLE", "basic": { "conditions": [ { "devicePolicy": { "osConstraints": [ { "osType": "DESKTOP_CHROME_OS", "minimumVersion": "11316.165.0" }, { "osType": "DESKTOP_WINDOWS", "minimumVersion": "10.0.1809" } ] { } ] } }
Sostituisci quanto segue:
NAME: Il nome univoco per il livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.
TITLE: un titolo leggibile. Deve essere univoco per il criterio.
Crea il livello di accesso chiamando
accessLevels.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
POLICY è l'ID del criterio di accesso della tua organizzazione.
Dopo aver creato il livello di accesso, devi applicarlo utilizzando un'associazione di accesso affinché venga applicato.
Limitare l'accesso ai dispositivi aziendali attendibili con certificati validi
Puoi utilizzare l'accesso basato su certificati (CBA) per richiedere certificati X.509 verificati per l'accesso alle risorse. Google CloudLa credenziale aggiuntiva fornisce un segnale più forte dell'identità del dispositivo e contribuisce a proteggere la tua organizzazione dal furto di credenziali o dalla perdita accidentale richiedendo la presenza sia delle credenziali utente sia del certificato del dispositivo originale prima di concedere l'accesso.
Prima di continuare, assicurati che l'estensione Chrome Endpoint Verification e l'app helper Endpoint Verification siano implementate su tutti i dispositivi che richiedono l'accesso alle risorseGoogle Cloud . Questi diventano dispositivi attendibili a cui puoi concedere l'accesso. Per maggiori dettagli, vedi Eseguire il deployment di Endpoint Verification da utilizzare con l'accesso basato su certificati.
Per creare una policy che richieda l'accesso basato su certificati, devi disporre di un livello di accesso con una specifica del livello di accesso personalizzata.
Console
Nella console Google Cloud , apri la pagina Gestore contesto accesso.
Se ti viene chiesto, seleziona un progetto.
Fai clic su Crea livello di accesso.
Nel riquadro Nuovo livello di accesso, seleziona Modalità avanzata. Per utilizzare questa modalità, devi disporre di una licenza Chrome Enterprise Premium.
Nella sezione Condizioni, inserisci la seguente espressione nella casella Espressione CEL.
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICEFai clic su Salva.
gcloud
Crea un file YAML per un livello di accesso che includa l'applicazione dei certificati.
expression: "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE"Salva il file. In questo esempio, il file si chiama
CONDITIONS.yaml.Crea il livello di accesso.
gcloud access-context-manager levels create NAME \ --title TITLE \ --basic-level-spec CONDITIONS.yaml \ --policy=POLICY
Sostituisci quanto segue:
NAME: Il nome univoco per il livello di accesso. Il nome deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.
TITLE: un titolo leggibile. Deve essere univoco per il criterio.
POLICY: l'ID della policy di accesso della tua organizzazione. Se hai impostato un criterio predefinito, questo parametro è facoltativo.
Dovresti vedere un output simile al seguente:
Create request issued for: NAME Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1234] to complete...done. Created level NAME.
API
Crea un file del corpo della richiesta per un livello di accesso che includa un criterio del dispositivo con vincoli del sistema operativo.
{ "name": "require_certificate", "title": "Certificate-Based Access", "description": "An example certificate-based access level.", "custom": { "expr": { "expression": "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE", "title": "Require a valid certificate", "description": "Permits requests from a device with a valid mTLS certificate." } } }
Crea il livello di accesso chiamando
accessLevels.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
POLICY è l'ID del criterio di accesso della tua organizzazione.
Dopo aver creato il livello di accesso, devi applicarlo utilizzando un'associazione di accesso affinché venga applicato.