对用户群组强制执行基于证书的访问权限

本页面介绍如何对用户群组强制执行基于证书的访问权限 (CBA)。

您可以将 CBA 访问权限级别绑定到要限制其访问权限的用户组,从而限制对所有 Google Cloud 服务(包括 Google Cloud 控制台)的访问权限。

在继续执行这些步骤之前,请确保您已创建 CBA 访问权限级别,该访问权限级别在确定对资源的访问时需要使用证书。

创建用户群组

创建一个用户组,其中包含应根据 CBA 访问权限级别向其授予访问权限的成员。

分配 Cloud Access Binding Admin 角色

完成以下步骤,将 Cloud Access Binding Admin 角色分配给用户组:

控制台

  1. 在控制台中,打开 IAM 页面。

    转到 IAM

  2. 点击 Add,然后配置以下内容:

    1. 新的主账号:指定要向其授予角色的群组。
    2. 选择一个角色,然后选择 Access Context Manager > Cloud Access Binding Admin
    3. 点击保存

gcloud CLI

  1. 确保您拥有足够的权限,可在组织级层添加 IAM 权限。您至少需要具有 Organization Admin 角色。

    确认您拥有适当的权限后,请登录:

    gcloud auth login
    
  2. 通过运行以下命令来分配 GcpAccessAdmin 角色:

    gcloud organizations add-iam-policy-binding ORG_ID \
      --member=user:EMAIL \
      --role=roles/accesscontextmanager.gcpAccessAdmin
    
    • ORG_ID 是您组织的 ID。如果您不知道组织 ID,可使用以下命令进行查找:

       gcloud organizations list
      
    • EMAIL 是您要向其授予角色的个人或群组的电子邮件地址。

将 CBA 访问权限级别绑定到用户组

  1. 在控制台中,转到 BeyondCorp Enterprise 页面。

    前往 BeyondCorp Enterprise

  2. 选择一个组织,然后点击选择

  3. 点击管理访问权限,选择应该拥有访问权限的用户组。

  4. 点击 Add,然后配置以下内容:

    1. 成员群组:指定您要授予访问权限的群组。您只能选择尚未绑定到访问权限级别的群组。
    2. 选择访问权限级别:选择要应用于群组的 CBA 访问权限级别。
    3. 点击保存