Nesta página, explicamos como aplicar o acesso baseado em certificado (CBA, na sigla em inglês) a grupos de usuários.
É possível restringir o acesso a todos os serviços do Google Cloud, incluindo o console do Google Cloud, vinculando um nível de acesso da CBA a um grupo de usuários ao qual você quer restringir o acesso.
Antes de continuar os procedimentos, verifique se você criou um nível de acesso da CBA que exija certificados ao determinar o acesso aos recursos.
Criar um grupo de usuários
Crie um grupo de usuários contendo os membros que devem receber acesso com base no nível de acesso da CBA.
Atribuir o papel de administrador de vinculação de acesso à nuvem
Atribua o papel Administrador da vinculação de acesso à nuvem ao grupo de usuários concluindo as seguintes etapas:
Console
No console, acesse a página IAM.
Clique em Adicionar e configure o seguinte:
- Novos principais: especifique o grupo a que você quer conceder o papel.
- Selecione um papel e clique em Access Context Manager > Administrador de vinculação do Cloud Access.
- Clique em Save.
CLI da gcloud
Verifique se você está autorizado com privilégios suficientes para adicionar permissões do IAM no nível da organização. Você precisa, no mínimo, do papel Administrador da organização.
Depois de confirmar que você tem as permissões corretas, faça login:
gcloud auth login
Atribua o papel
GcpAccessAdmin
executando o seguinte comando:gcloud organizations add-iam-policy-binding ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdmin
ORG_ID
é o ID da organização. Se você ainda não tiver o ID da organização, use o seguinte comando para encontrá-lo:gcloud organizations list
EMAIL
é o endereço de e-mail da pessoa ou do grupo a que você quer conceder o papel.
Vincular o nível de acesso da CBA a um grupo de usuários
No console, acesse a página do BeyondCorp Enterprise.
Escolha uma organização e clique em Selecionar.
Clique em Gerenciar acesso para escolher os grupos de usuários que devem ter acesso.
Clique em Adicionar e configure o seguinte:
- Grupos de membros: especifique o grupo a que você quer conceder acesso. Só é possível selecionar grupos que ainda não estejam vinculados a um nível de acesso.
- Selecionar níveis de acesso: escolha o nível de acesso da CBA que será usado no grupo.
- Clique em Save.