このページでは、ユーザー グループで証明書ベースのアクセス(CBA)を適用する方法について説明します。
Google Cloud コンソールを含むすべての Google Cloud サービスへのアクセスを制限するには、アクセスを制限するユーザー グループに CBA アクセスレベルをバインドします。
手順を続行する前に、リソースへのアクセスを決定するときに証明書を必要とする CBA アクセスレベルを作成済みであることを確認します。
ユーザー グループの作成
CBA アクセスレベルに基づいてアクセス権を付与するメンバーを含むユーザー グループを作成します。
Cloud アクセス バインディング管理者のロールを割り当てる
次の手順に従い、Cloud Access Binding 管理者ロールをユーザー グループに割り当てます。
コンソール
コンソールで [IAM] ページに移動します。
[追加] をクリックして、以下を構成します。
- 新しいプリンシパル: ロールを付与するグループを指定します。
- ロールを選択し、[Access Context Manager] > [Cloud アクセス バインディング管理者] の順に選択します。
- [保存] をクリックします。
gcloud CLI
組織レベルの IAM 権限を追加するのに十分な権限で承認されていることを確認してください。少なくとも、組織管理者のロールが必要です。
適切な権限があることを確認したら、ログインします。
gcloud auth login次のコマンドを実行して
GcpAccessAdminロールを割り当てます。gcloud organizations add-iam-policy-binding ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdminORG_IDは、組織 ID です。組織 ID を把握していない場合は、次のコマンドを使用して確認できます。gcloud organizations listEMAILは、ロールを付与するユーザーまたはグループのメールアドレスです。
CBA アクセスレベルをユーザー グループにバインドする
コンソールで、[BeyondCorp Enterprise] ページに移動します。
組織を選択し、[選択] をクリックします。
[アクセスの管理] をクリックして、アクセスを許可するユーザー グループを選択します。
[追加] をクリックして、以下を構成します。
- メンバー グループ: アクセス権を付与するグループを指定します。選択できるのは、アクセスレベルにまだバインドされていないグループのみです。
- アクセスレベルを選択する: グループに適用する CBA アクセスレベルを選択します。
- [保存] をクリックします。