Appliquer un accès basé sur des certificats à l'aide de groupes d'utilisateurs

Cette page explique comment appliquer un accès basé sur des certificats (CBA) à des groupes d'utilisateurs.

Vous pouvez restreindre l'accès à tous les services Google Cloud, y compris la console Google Cloud, en liant un niveau d'accès CBA à un groupe d'utilisateurs dont vous souhaitez restreindre l'accès.

Avant de passer aux procédures, assurez-vous d'avoir préalablement créé un niveau d'accès CBA qui nécessite des certificats pour déterminer l'accès aux ressources.

Créer un groupe d'utilisateurs

Créez un groupe d'utilisateurs contenant les membres auxquels l'accès doit être accordé en fonction du niveau d'accès de la CBA.

Attribuer le rôle "Administrateur de liaisons d'accès au cloud"

Attribuez le rôle Administrateur de liaisons d'accès au cloud au groupe d'utilisateurs en procédant comme suit:

Console

  1. Dans la console, accédez à la page IAM.

    Accéder à IAM

  2. Cliquez sur Ajouter, puis configurez les éléments suivants:

    1. Nouveaux comptes principaux: spécifiez le groupe auquel vous souhaitez accorder le rôle.
    2. Sélectionnez un rôle, puis Access Context Manager > Administrateur de liaisons d'accès au cloud.
    3. Cliquez sur Enregistrer.

gcloud CLI

  1. Assurez-vous de disposer des droits suffisants pour ajouter des autorisations IAM au niveau de l'organisation. Vous devez au minimum disposer du rôle d'administrateur de l'organisation.

    Après avoir vérifié que vous disposez des autorisations appropriées, connectez-vous:

    gcloud auth login
    
  2. Attribuez le rôle GcpAccessAdmin en exécutant la commande suivante :

    gcloud organizations add-iam-policy-binding ORG_ID \
      --member=user:EMAIL \
      --role=roles/accesscontextmanager.gcpAccessAdmin
    
    • ORG_ID est l'ID de votre organisation. Si vous ne disposez pas encore de l'ID de votre organisation, vous pouvez utiliser la commande suivante pour le trouver :

       gcloud organizations list
      
    • EMAIL est l'adresse e-mail de la personne ou du groupe auquel vous souhaitez attribuer le rôle.

Associer le niveau d'accès de la CBA à un groupe d'utilisateurs

  1. Dans la console, accédez à la page BeyondCorp Enterprise.

    Accéder à BeyondCorp Enterprise

  2. Choisissez une organisation, puis cliquez sur Sélectionner.

  3. Cliquez sur Gérer l'accès pour sélectionner les groupes d'utilisateurs qui doivent y avoir accès.

  4. Cliquez sur Ajouter, puis configurez les éléments suivants:

    1. Groupes de membres: spécifiez le groupe auquel vous souhaitez accorder l'accès. Vous ne pouvez sélectionner que des groupes qui ne sont pas déjà liés à un niveau d'accès.
    2. Sélectionner les niveaux d'accès: sélectionnez le niveau d'accès CBA à appliquer au groupe.
    3. Cliquez sur Enregistrer.