이 페이지에서는 컨텍스트 인식 액세스를 설정하는 방법을 설명합니다. 컨텍스트 인식 액세스를 사용하여 다음을 수행할 수 있습니다.
- 사용자 ID, 네트워크, 위치, 기기 상태와 같은 속성을 기반으로 Google Cloud 리소스에 대한 액세스 정책을 정의합니다.
- 지속적인 액세스를 위한 세션 길이와 재인증 방법을 제어합니다.
컨텍스트 인식 액세스는 사용자가 웹의 Google Cloud 콘솔 및 Google Cloud CLI를 비롯하여 Google Cloud 범위가 필요한 클라이언트 애플리케이션에 액세스할 때마다 적용됩니다.
필수 IAM 권한 부여
Access Context Manager 액세스 바인딩을 만드는 데 필요한 조직 수준에서 IAM 권한을 부여합니다.
콘솔
Google Cloud 콘솔의 IAM 페이지로 이동합니다.
액세스 권한 부여를 클릭하고 다음을 구성합니다.
- 새 주 구성원: 권한을 부여할 사용자 또는 그룹을 지정합니다.
- 역할 선택: Access Context Manager > Cloud 액세스 바인딩 관리자를 선택합니다.
저장을 클릭합니다.
gcloud
조직 수준에서 IAM 권한을 추가할 수 있는 충분한 권한으로 인증되었는지 확인합니다. 최소한 조직 관리자 역할이 필요합니다.
올바른 권한이 있음을 확인한 후 다음으로 로그인합니다.
gcloud auth login
다음 명령어를 실행하여
GcpAccessAdmin
역할을 할당합니다.gcloud organizations add-iam-policy-binding ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdmin
ORG_ID
는 조직의 ID입니다. 아직 조직 ID가 없으면 다음 명령어를 사용하여 찾을 수 있습니다.gcloud organizations list
EMAIL
은 역할을 부여할 사용자 또는 그룹의 이메일 주소입니다.
사용자 그룹 만들기
컨텍스트 인식 제한사항이 적용되어야 하는 사용자 그룹을 만듭니다. 조직의 구성원이기도 한 이 그룹의 모든 사용자는 Google Cloud 콘솔 및 Google Cloud API에 액세스하려면 관리자가 만든 액세스 수준을 충족해야 합니다.
엔드포인트 확인 배포
엔드포인트 확인 배포는 기기 속성을 액세스 제어 정책에 통합할 수 있는 선택사항 단계입니다. 이 기능을 사용하여 OS 버전 및 구성과 같은 기기 속성에 따라 리소스에 대한 액세스 권한을 부여하거나 거부하여 조직의 보안을 강화할 수 있습니다.
엔드포인트 확인은 macOS, Windows, Linux에서 Chrome 확장 프로그램으로 실행되며 모델, OS 버전과 같은 기기 특성, 디스크 암호화, 방화벽, 화면 잠금, OS 패치와 같은 보안 특성을 기반으로 액세스 제어 정책을 만들 수 있습니다.
또한 인증서 기반 액세스를 요구할 수 있습니다. 인증서 기반 액세스는 인증된 기기 인증서가 있는지 확인하여 보안 레이어를 추가하고 사용자 사용자 인증 정보가 도용되더라도 승인된 기기만 리소스에 액세스할 수 있도록 합니다.
관리자는 Google Cloud 콘솔을 사용하여 조직의 회사 소유 기기에 확장 프로그램을 배포하거나 조직 구성원이 직접 설치할 수 있습니다.