Esta página foi traduzida pela API Cloud Translation.

Configurar o acesso baseado no contexto

Esta página explica como configurar o acesso baseado no contexto. É possível usar o acesso com base no contexto para fazer o seguinte:

Defina políticas de acesso para recursos do Google Cloud com base em atributos como identidade do usuário, rede, local e estado do dispositivo.
Controle a duração da sessão e os métodos de reautorização para acesso contínuo.

Visualização — Session controls feature only

Esse recurso está sujeito aos "Termos de ofertas pré-GA" na seção "Termos de Serviço gerais" dos Termos específicos de serviço. Os recursos pré-GA estão disponíveis "no estado em que se encontram" e podem ter suporte limitado. Para mais informações, consulte as descrições da fase de lançamento.

O acesso baseado no contexto é aplicado sempre que um usuário acessa um aplicativo cliente que requer um escopo do Google Cloud , incluindo o console do Google Cloud na Web e a Google Cloud CLI.

Conceder as permissões necessárias do IAM

Conceda as permissões do IAM no nível da organização que são necessárias para criar vinculações de acesso do Access Context Manager.

Console

Acesse a página IAM no console Google Cloud .

Acessar IAM
Clique em Conceder acesso e configure o seguinte:
- Novos principais: especifique o usuário ou grupo que você quer conceder as permissões.
- Selecione um papel: selecione Access Context Manager > Administrador de vinculação de acesso à nuvem.
Clique em Save.

gcloud

Verifique se você está autenticado com privilégios suficientes para adicionar permissões do IAM no nível da organização. Você precisa, no mínimo, do papel Administrador da organização.

Depois de confirmar que você tem as permissões certas, faça login com:
```
gcloud auth login
```
Atribua o papel GcpAccessAdmin executando o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID é o ID da organização. Se você ainda não tiver o ID da organização, use o seguinte comando para encontrá-lo:
```
 gcloud organizations list
```
- EMAIL é o endereço de e-mail da pessoa ou do grupo a que você quer conceder o papel.
Observação: para conceder acesso somente leitura a vinculações, é possível atribuir o papel accesscontextmanager.gcpAccessReader.

Criar um grupo de usuários

Crie um grupo de usuários que precisa estar vinculado por restrições baseadas no contexto. Todos os usuários desse grupo que também são membros da sua organização precisam atender aos níveis de acesso criados para acessar o console do Google Cloud e as APIs do Google Cloud .

Implantar a Verificação de endpoint

A implantação da Verificação de endpoint é uma etapa opcional que permite integrar atributos do dispositivo às suas políticas de controle de acesso. Você pode usar esse recurso para melhorar a segurança da sua organização concedendo ou negando acesso a recursos com base em atributos do dispositivo, como versão do SO e configuração.

A Verificação de endpoints é executada como uma extensão do Chrome no macOS, Windows e Linux e permite criar políticas de controle de acesso com base em características do dispositivo, como modelo e versão do SO, e características de segurança, como a presença de criptografia de disco, um firewall, um bloqueio de tela e patches do SO.

Além disso, é possível exigir o acesso com base em certificados, que garante a presença de um certificado de dispositivo verificado para adicionar uma camada extra de segurança e garantir que apenas dispositivos autorizados possam acessar os recursos, mesmo que as credenciais do usuário estejam comprometidas.

Um administrador pode implantar a extensão nos dispositivos da empresa usando o console Google Cloud , ou os membros da organização podem instalar por conta própria.