Gérer les liaisons d'accès

Cette page explique comment gérer vos liaisons d'accès existantes, qui définissent comment les règles d'accès sont appliquées à vos groupes d'utilisateurs. Vous pouvez afficher, modifier et supprimer ces liaisons si nécessaire. Les liaisons d'accès déterminent comment les niveaux d'accès et les contrôles de session sont appliqués à un groupe d'utilisateurs.

Pour savoir comment créer des liaisons d'accès et en savoir plus sur les niveaux d'accès et les commandes de session, consultez Appliquer des stratégies aux groupes d'utilisateurs avec des liaisons d'accès.

Afficher les liaisons d'accès

Une fois les liaisons d'accès créées pour un groupe d'utilisateurs, l'accès à la consoleGoogle Cloud et aux API Google Cloud est contrôlé en fonction du niveau d'accès associé.

Vous pouvez afficher les détails de la liaison d'accès que vous avez créée, la modifier ou la supprimer.

Console

  1. Dans la console Google Cloud , accédez à la page Access Context Manager.

    Accéder à Access Context Manager

  2. Si vous y êtes invité, sélectionnez un projet. La liste des liaisons d'accès est affichée sur la page Access Context Manager.

gcloud

  • Pour afficher toutes les liaisons d'accès, exécutez la commande suivante:

      gcloud access-context-manager cloud-bindings list \
   --organization ORG_ID

    ORG_ID: ID de votre organisation. Si la propriété access-context-manager/organization n'a pas été définie, remplacez ORG_ID dans l'option facultative --organization par l'ID de l'organisation que vous avez utilisé lors de la création du rôle GcpAccessAdmin.

  • Pour afficher les détails d'une liaison d'accès, exécutez la commande suivante:

      gcloud access-context-manager cloud-bindings describe \
  --binding=BINDING_ID

    BINDING_ID est l'ID de la liaison d'accès ou l'identifiant complet de la liaison d'accès.

API

  • Afficher toutes les liaisons d'accès:

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • ORG_ID correspond à l'ID de l'organisation que vous avez utilisé lors de la création du rôle GcpAccessAdmin. Si la propriété access-context-manager/organization n'a pas été définie, remplacez ORG_ID dans l'option facultative --organization par l'ID de l'organisation que vous avez utilisé lors de la création du rôle GcpAccessAdmin.

    Méthode HTTP et URL : 

    GET https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

    Pour envoyer votre requête, choisissez l'une des options suivantes :

    curl

    Exécutez la commande suivante :

    curl -X GET \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

    PowerShell

    Exécutez la commande suivante :

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method GET `
        -Headers $headers `
        -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

    Vous devriez recevoir une réponse JSON de ce type :

    
{
  "name": string,
  "groupKey": string,
  "accessLevels": [
    string
  ]
  "dryRunAccessLevels": [
  string
  ]
}

  • Afficher les détails d'une liaison d'accès:

    Méthode HTTP et URL : 

    GET https://accesscontextmanager.googleapis.com/v1/BINDING_ID

    Pour envoyer votre requête, choisissez l'une des options suivantes :

    curl

    Exécutez la commande suivante :

    curl -X GET \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         "https://accesscontextmanager.googleapis.com/v1/BINDING_ID"

    PowerShell

    Exécutez la commande suivante :

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method GET `
        -Headers $headers `
        -Uri "https://accesscontextmanager.googleapis.com/v1/BINDING_ID" | Select-Object -Expand Content

    Vous devriez recevoir une réponse JSON de ce type :

    
{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}

Mettre à jour une liaison d'accès

Vous pouvez mettre à jour une liaison d'accès pour effectuer les opérations suivantes:

  • Ajoutez, supprimez ou modifiez les applications auxquelles une stratégie s'applique.
  • Modifiez les niveaux d'accès d'une application dans un groupe d'utilisateurs.
  • Ajoutez un niveau d'accès de simulation ou mettez un niveau existant en service.

Console

  1. Dans la console Google Cloud , accédez à la page Access Context Manager.

    Accéder à Access Context Manager

  2. Si vous y êtes invité, sélectionnez un projet.

  3. Sur la page Access Context Manager, sélectionnez une liaison d'accès, puis cliquez sur Modifier pour la mettre à jour.

Vous ne pouvez pas mettre à jour les liaisons d'accès avec des niveaux d'accès en simulation ou des commandes de session dans la console Google Cloud .

gcloud

  1. Créez un fichier de liaison YAML.

    gcloud access-context-manager cloud-bindings update
  --binding ACCESS_BINDING
  --binding-file BINDING_FILE_PATH
[  --level DEFAULT_ACCESS_LEVEL ]
[  --dry-run-level DEFAULT_DRY_RUN_ACCESS_LEVEL           ]
[  --session-length=DEFAULT_SESSION_LENGTH                ]
[  --session-reauth-method=DEFAULT_SESSION_REAUTH_METHOD  ]

    Remplacez les éléments suivants :

    • ACCESS_BINDING est au format organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME.
    • BINDING_FILE_PATH: chemin d'accès au fichier YAML contenant le schéma de liaison d'accès. Le fichier de liaison n'est compatible qu'avec scopedAccessSettings.
    • DEFAULT_ACCESS_LEVEL: nom facultatif du niveau d'accès, qui prend la forme accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. Remplacez POLICY_ID par l'ID de la règle d'accès et ACCESS_LEVEL_NAME par le nom du niveau d'accès.
    • DEFAULT_DRY_RUN_ACCESS_LEVEL_2: nom facultatif du niveau d'accès au format "accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME". Incluez cet indicateur pour appliquer le niveau d'accès spécifié pour l'exécution à blanc à toutes les applications par défaut si elles ne sont pas spécifiées dans le fichier YAML.
    • DEFAULT_SESSION_LENGTH: durée de session facultative au format ISO 8601, par exemple 30m pour 30 minutes ou 2h pour deux heures.
    • DEFAULT_SESSION_REAUTH_METHOD: méthode facultative pour demander aux utilisateurs de valider à nouveau leur identité. Elle doit être l'une des suivantes :
      • LOGIN: appliquez la connexion standard, qui peut inclure MFA ou d'autres facteurs définis par Workspace.
      • PASSWORD: n'exigez qu'un mot de passe, même si d'autres facteurs sont définis. Si les mots de passe sont gérés à l'aide d'un IdP externe, les utilisateurs sont redirigés vers celui-ci. Si la session de l'IdP est active, les utilisateurs sont réauthentifiés implicitement. Si le fournisseur d'identité n'est pas actif, les utilisateurs doivent se connecter via celui-ci.
      • SECURITY_KEY: exigez une clé de sécurité matérielle.

    Fonctionnement combiné des arguments --level et --binding-file

    • Si vous n'utilisez que --binding-file, seules les applications du fichier sont soumises aux règles.
    • Si vous n'utilisez que --level, le niveau d'accès s'applique à toutes les applications.
    • Si vous utilisez les deux, les règles du fichier YAML ont la priorité. La valeur --level s'applique à toutes les applications qui ne sont pas listées dans le fichier.

    Utiliser les commandes de session

    • Pour définir les contrôles de session par défaut pour toutes les applications, utilisez --session-length et --session-reauth-method.
    • Si vous définissez également des commandes de session dans le fichier YAML, ces commandes de session remplacent les paramètres par défaut de ces applications spécifiques.
    • Vous devez utiliser --session-length et --session-reauth-method conjointement.

    Pour supprimer un niveau d'accès par défaut ou un niveau d'accès par défaut pour les simulations, fournissez une chaîne vide, telle que --level= ou --dry-run-level=. Lorsque ces arguments ne sont pas fournis, la commande update n'apporte aucune modification.

    Pour supprimer un contrôle de session, définissez --session-length=0.

API

  1. Créez un corps JSON.

    {
  "accessLevels": [
    "DEFAULT_ACCESS_LEVEL"
  ],
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "clientId": "CLIENT_ID"
          }
        }
      },
      "activeSettings": {
        "accessLevels": [
          "ACCESS_LEVEL_A"
        ],
        "sessionSettings": [
          {
            "sessionLength": "SESSION_LENGTH",
            "sessionReauthMethod": "SESSION_REAUTH_METHOD",
            "sessionLengthEnabled": true
          }
        ]
    }
    },
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "CLIENT_NAME"
          }
        },
        "activeSettings": {
          "accessLevels": [
            "ACCESS_LEVEL_C"
          ]
        }
      }
    }
  ]
}

    Remplacez les éléments suivants :

    • DEFAULT_ACCESS_LEVEL: nom facultatif du niveau d'accès, qui prend la forme accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. Remplacez POLICY_ID par l'ID de la règle d'accès et ACCESS_LEVEL_NAME par le nom du niveau d'accès.
    • CLIENT_ID: ID client OAuth. Vous devez utiliser clientId lorsqu'une application contient sessionSettings.
    • ACCESS_LEVEL_A: nom de niveau d'accès au format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
    • SESSION_LENGTH: durée de la session au format ISO 8601, par exemple 30m pour 30 minutes ou 2h pour deux heures.

    • SESSION_REAUTH_METHOD: méthode facultative pour demander aux utilisateurs de valider à nouveau leur identité. Elle doit être l'une des suivantes:

      • LOGIN: appliquez la connexion standard, qui peut inclure MFA ou d'autres facteurs définis par Workspace.
      • PASSWORD: n'exigez qu'un mot de passe, même si d'autres facteurs sont définis. Si les mots de passe sont gérés à l'aide d'un IdP externe, les utilisateurs sont redirigés vers l'IdP. Si la session de l'IdP est active, les utilisateurs sont réauthentifiés de manière implicite. Si l'IdP n'est pas actif, les utilisateurs doivent se connecter via l'IdP.
      • SECURITY_KEY: exigez une clé de sécurité matérielle.

    • CLIENT_NAME: nom du client. Si l'application contient sessionSettings, vous ne pouvez pas utiliser le nom du client. Utilisez plutôt l'ID client OAuth.

    • ACCESS_LEVEL_C: nom de niveau d'accès au format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

  2. Envoyez la requête PATCH.

    PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING?fieldMask=FIELDMASK

    Remplacez les éléments suivants :

    • ACCESS_BINDING est au format organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME.
    • FIELD_MASK: liste obligatoire des champs que vous souhaitez mettre à jour, séparés par une virgule. Cela indique à l'API les parties de la liaison d'accès à modifier.

    fieldMask doit contenir les clés JSON de niveau supérieur dans le corps de la requête que vous souhaitez mettre à jour, qui peuvent contenir accessLevels, dryRunAccessLevels et scopedAccessSettings.

    Si l'opération réussit, vous devriez recevoir une représentation de l'objet JSON. En cas de problème, un message d'erreur s'affiche.

Supprimer les liaisons d'accès

Console

  1. Dans la console Google Cloud , accédez à la page Access Context Manager.

    Accéder à Access Context Manager

  2. Si vous y êtes invité, sélectionnez un projet.

  3. Sur la page Access Context Manager, sélectionnez une liaison d'accès, puis cliquez sur Supprimer.

gcloud

   gcloud access-context-manager cloud-bindings delete \
       --binding ACCESS_BINDING

Remplacez les éléments suivants :

  • ACCESS_BINDING est au format organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME.
  • ACCESS_BINDING_NAME est la chaîne unique renvoyée pour l'identifiant name lors de la création de la liaison d'accès.

API

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ACCESS_BINDING_NAME est la chaîne unique renvoyée pour l'identifiant name lors de la création de la liaison d'accès.

Méthode HTTP et URL : 

DELETE https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Exécutez la commande suivante :

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME"

PowerShell

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME" | Select-Object -Expand Content

Vous devriez recevoir un code d'état indiquant le succès de l'opération (2xx), ainsi qu'une réponse vide.