本页介绍了如何设置情境感知访问权限。您可以使用感知上下文的访问权限执行以下操作:
- 根据用户身份、网络、位置和设备状态等属性,为 Google Cloud 资源定义访问权限政策。
控制会话时长和重新身份验证方法,以便持续访问。
每当用户访问需要 Google Cloud 范围的客户端应用(包括 Web 版 Google Cloud 控制台和 Google Cloud CLI)时,系统都会强制执行情境感知访问权限。
授予所需的 IAM 权限
在组织级层授予创建 Access Context Manager 访问权限绑定所需的 IAM 权限。
控制台
前往 Google Cloud 控制台中的 IAM 页面。
点击授予访问权限,然后配置以下内容:
- 新主账号:指定要授予权限的用户或群组。
- 选择角色:选择 Access Context Manager > Cloud Access Binding Admin。
点击保存。
gcloud
确保您已经过身份验证并拥有在组织级层添加 IAM 权限的足够权限。您至少需要具有 Organization Admin 角色。
确认拥有适当权限后,请使用以下命令进行登录:
gcloud auth login通过运行以下命令来分配
GcpAccessAdmin角色:gcloud organizations add-iam-policy-binding ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdminORG_ID是您组织的 ID。如果您不知道组织 ID,可使用以下命令进行查找:gcloud organizations listEMAIL是您要授予角色的用户或群组的电子邮件地址。
创建用户组
创建一组应受情境感知限制约束的用户。该组中的任何用户(也是您组织的成员)都必须满足您创建的任何访问权限级别,才能访问 Google Cloud 控制台和Google Cloud API。
部署 Endpoint Verification
部署端点验证是一个可选步骤,可让您将设备属性集成到访问权限控制政策中。您可以使用此功能根据设备属性(例如操作系统版本和配置)授予或拒绝对资源的访问权限,从而增强贵组织的安全性。
Endpoint Verification 在 macOS、Windows 和 Linux 上作为 Chrome 扩展程序运行,可让您根据设备特征(例如型号和操作系统版本)以及安全特征(例如是否存在磁盘加密、防火墙、屏幕锁定和操作系统补丁)创建访问权限控制政策。
此外,您还可以要求使用基于证书的访问权限,以确保存在经过验证的设备证书,从而额外增强安全性,并确保只有已获授权的设备才能访问资源,即使用户凭据遭到破坏也是如此。
管理员可以使用 Google Cloud 控制台将该扩展程序部署到组织的公司自有设备上,组织的成员也可以自行安装。