Appliquer l'accès basé sur un certificat avec des groupes d'utilisateurs

Cette page explique comment appliquer l'accès basé sur un certificat (CBA) aux groupes d'utilisateurs.

Vous pouvez restreindre l'accès à tous les services Google Cloud, y compris la console Google Cloud, en associant un niveau d'accès CBA à un groupe d'utilisateurs auquel vous souhaitez restreindre l'accès.

Avant de poursuivre les procédures, assurez-vous d'avoir préalablement créé un niveau d'accès à la CBA nécessitant des certificats pour déterminer l'accès aux ressources.

Créer un groupe d'utilisateurs

Créez un groupe d'utilisateurs contenant les membres auxquels l'accès doit être accordé en fonction du niveau d'accès à la CBA.

Attribuer le rôle d'administrateur de liaisons Cloud Access

Attribuez le rôle Administrateur de liaisons d'accès Cloud au groupe d'utilisateurs en procédant comme suit:

Console

  1. Dans la console, accédez à la page IAM.

    Accéder à IAM

  2. Cliquez sur Ajouter, puis configurez les paramètres suivants:

    1. Nouveaux comptes principaux: spécifiez le groupe auquel vous souhaitez attribuer le rôle.
    2. Sélectionnez un rôle, puis Access Context Manager > Cloud Access Binding Admin.
    3. Cliquez sur Enregistrer.

CLI gcloud

  1. Assurez-vous d'être autorisé à ajouter des autorisations IAM au niveau de l'organisation. Vous devez au minimum disposer du rôle d'administrateur de l'organisation.

    Après avoir vérifié que vous disposez des autorisations appropriées, connectez-vous:

    gcloud auth login

  2. Attribuez le rôle GcpAccessAdmin en exécutant la commande suivante :

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID est l'ID de votre organisation. Si vous ne disposez pas encore de l'ID de votre organisation, vous pouvez utiliser la commande suivante pour le trouver :

       gcloud organizations list

    • EMAIL est l'adresse e-mail de la personne ou du groupe auquel vous souhaitez accorder le rôle.

Associer le niveau d'accès à la CBA à un groupe d'utilisateurs

  1. Dans la console, accédez à la page BeyondCorp Enterprise.

    Accéder à BeyondCorp Enterprise

  2. Choisissez une organisation, puis cliquez sur Sélectionner.

  3. Cliquez sur Gérer l'accès pour choisir les groupes d'utilisateurs qui doivent y avoir accès.

  4. Cliquez sur Ajouter, puis configurez les paramètres suivants:

    1. Groupes de membres : spécifiez le groupe auquel vous souhaitez accorder l'accès. Vous ne pouvez sélectionner que des groupes qui ne sont pas déjà associés à un niveau d'accès.
    2. Sélectionner les niveaux d'accès : sélectionnez le niveau d'accès à la CBA à appliquer au groupe.
    3. Cliquez sur Enregistrer.