Aplicar o acesso baseado em certificado a grupos de usuários

Nesta página, explicamos como aplicar o acesso baseado em certificado (CBA, na sigla em inglês) a grupos de usuários.

É possível restringir o acesso a todos os serviços do Google Cloud, incluindo o console do Google Cloud, vinculando um nível de acesso da CBA a um grupo de usuários ao qual você quer restringir o acesso.

Antes de continuar os procedimentos, verifique se você criou um nível de acesso da CBA que exija certificados ao determinar o acesso aos recursos.

Criar um grupo de usuários

Crie um grupo de usuários contendo os membros que devem receber acesso com base no nível de acesso da CBA.

Atribuir o papel de administrador de vinculação de acesso à nuvem

Atribua o papel Administrador da vinculação de acesso à nuvem ao grupo de usuários concluindo as seguintes etapas:

Console

No console, acesse a página IAM.
Acessar o IAM
Clique em Adicionar e configure o seguinte:
1. Novos principais: especifique o grupo a que você quer conceder o papel.
2. Selecione um papel e clique em Access Context Manager > Administrador de vinculação do Cloud Access.
3. Clique em Save.

CLI da gcloud

Verifique se você está autorizado com privilégios suficientes para adicionar permissões do IAM no nível da organização. Você precisa, no mínimo, do papel Administrador da organização.

Depois de confirmar que você tem as permissões corretas, faça login:
```
gcloud auth login
```
Atribua o papel GcpAccessAdmin executando o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID é o ID da organização. Se você ainda não tiver o ID da organização, use o seguinte comando para encontrá-lo:
```
 gcloud organizations list
```
- EMAIL é o endereço de e-mail da pessoa ou do grupo a que você quer conceder o papel.
Observação: para ter acesso somente leitura às vinculações, atribua o papel accesscontextmanager.gcpAccessReader.

Vincular o nível de acesso da CBA a um grupo de usuários

No console, acesse a página do BeyondCorp Enterprise.
Acesse o BeyondCorp Enterprise
Escolha uma organização e clique em Selecionar.
Clique em Gerenciar acesso para escolher os grupos de usuários que devem ter acesso.
Clique em Adicionar e configure o seguinte:
1. Grupos de membros: especifique o grupo a que você quer conceder acesso. Só é possível selecionar grupos que ainda não estejam vinculados a um nível de acesso.
2. Selecionar níveis de acesso: escolha o nível de acesso da CBA que será usado no grupo.
3. Clique em Save.