Aplicar acesso baseado em certificado com grupos de usuários

Nesta página, explicamos como aplicar o acesso baseado em certificado (CBA, na sigla em inglês) aos grupos de usuários.

É possível restringir o acesso a todos os serviços do Google Cloud, incluindo o console do Google Cloud. Basta vincular um nível de acesso à CBA a um grupo de usuários ao qual você quer restringir o acesso.

Antes de continuar para o procedimento, verifique se você já criou um nível de acesso à CBA que exige certificados ao determinar o acesso aos recursos.

Criar um grupo de usuários

Crie um grupo de usuários contendo os membros que precisam ter acesso com base no nível de acesso da CBA.

Atribuir o papel de Administrador do Cloud Access Binding

Atribua o papel Administrador do Cloud Access Binding ao grupo de usuários concluindo as seguintes etapas:

Console

No console, acesse a página IAM.
Acesse o IAM
Clique em Adicionar e configure o seguinte:
1. Novos principais: especifique o grupo ao qual você quer conceder o papel.
2. Selecione um papel e Access Context Manager > Administrador do Cloud Access Binding.
3. Clique em Save.

CLI da gcloud

Verifique se você tem autorização suficiente para adicionar permissões do IAM no nível da organização. Você precisa, no mínimo, do papel Administrador da organização.

Depois de confirmar que você tem as permissões corretas, faça login:
```
gcloud auth login
```
Atribua o papel GcpAccessAdmin executando o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID é o ID da organização. Se você ainda não tiver o ID da organização, use o seguinte comando para encontrá-lo:
```
 gcloud organizations list
```
- EMAIL é o endereço de e-mail da pessoa ou do grupo a quem você quer conceder o papel.
Observação:para acesso somente leitura às vinculações, atribua o papel accesscontextmanager.gcpAccessReader.

Vincular o nível de acesso da CBA a um grupo de usuários

No console do Cloud, acesse a página do BeyondCorp Enterprise.
Acessar o BeyondCorp Enterprise
Escolha uma organização e clique em Selecionar.
Clique em Gerenciar acesso para escolher os grupos de usuários que devem ter acesso.
Clique em Adicionar e configure o seguinte:
1. Grupos de membros: especifique o grupo a que você quer conceder acesso. Só é possível selecionar grupos que ainda não estejam vinculados a um nível de acesso.
2. Selecionar níveis de acesso: selecione o nível de acesso da CBA que será aplicado ao grupo.
3. Clique em Save.