Zertifikatbasierten Zugriff mit Nutzergruppen erzwingen

Auf dieser Seite wird erläutert, wie Sie den zertifikatbasierten Zugriff für Nutzergruppen erzwingen.

Sie können den Zugriff auf alle Google Cloud-Dienste, einschließlich der Google Cloud Console, einschränken, indem Sie eine CBA-Zugriffsebene an eine Nutzergruppe binden, auf die Sie den Zugriff beschränken möchten.

Bevor Sie mit den Verfahren fortfahren, müssen Sie zuvor eine CBA-Zugriffsebene erstellt haben, für die zum Ermitteln des Zugriffs auf Ressourcen Zertifikate erforderlich sind.

Eine Nutzergruppe erstellen

Erstellen Sie eine Nutzergruppe mit den Mitgliedern, denen Zugriff auf Grundlage der CBA-Zugriffsebene gewährt werden soll.

Rolle „Administrator für Cloud-Zugriffsbindungen“ zuweisen

Weisen Sie der Nutzergruppe die Rolle Cloud Access Binding Admin (Administrator für Cloud-Zugriffsbindungen) zu. Führen Sie dazu die folgenden Schritte aus:

Console

  1. Rufen Sie in der Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf Hinzufügen und konfigurieren Sie Folgendes:

    1. Neue Hauptkonten: Geben Sie die Gruppe an, der Sie die Rolle zuweisen möchten.
    2. Wählen Sie eine Rolle und dann Access Context Manager > Administrator für Cloud Access Binding aus.
    3. Klicken Sie auf Speichern.

gcloud-CLI

  1. Prüfen Sie, ob Sie über ausreichende Berechtigungen zum Hinzufügen von IAM-Berechtigungen auf Organisationsebene verfügen. Sie benötigen mindestens die Rolle Organisationsadministrator.

    Nachdem Sie bestätigt haben, dass Sie die richtigen Berechtigungen haben, melden Sie sich an:

    gcloud auth login

  2. Weisen Sie die Rolle GcpAccessAdmin mit folgendem Befehl zu:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID ist die ID Ihrer Organisation. Wenn Sie Ihre Organisations-ID noch nicht haben, können Sie sie mit dem folgenden Befehl ermitteln:

       gcloud organizations list

    • EMAIL ist die E-Mail-Adresse der Person oder Gruppe, der Sie die Rolle zuweisen möchten.

CBA-Zugriffsebene an eine Nutzergruppe binden

  1. Rufen Sie in der Console die Seite BeyondCorp Enterprise auf.

    Zu BeyondCorp Enterprise

  2. Wählen Sie eine Organisation aus und klicken Sie dann auf Auswählen.

  3. Klicken Sie auf Zugriff verwalten, um die Nutzergruppen auszuwählen, die Zugriff haben sollen.

  4. Klicken Sie auf Hinzufügen und konfigurieren Sie Folgendes:

    1. Mitgliedergruppen: Geben Sie die Gruppe an, auf die Sie Zugriff gewähren möchten. Sie können nur Gruppen auswählen, die noch nicht an eine Zugriffsebene gebunden sind.
    2. Zugriffsebenen auswählen: Wählen Sie die CBA-Zugriffsebene aus, die auf die Gruppe angewendet werden soll.
    3. Klicken Sie auf Speichern.