このページでは、コンテキスト対応アクセスを設定する方法について説明します。コンテキスト対応アクセスを使用すると、次のことができます。
- ユーザー ID、ネットワーク、ロケーション、デバイスの状態などの属性に基づいて、 Google Cloud リソースのアクセス ポリシーを定義します。
継続的なアクセスのセッション時間と再認証方法を制御する。
コンテキスト対応アクセスは、 Google Cloud コンソールや Google Cloud CLI など、 Google Cloud スコープを必要とするクライアント アプリケーションにユーザーがアクセスするたびに適用されます。
必要な IAM 権限を付与する
Access Context Manager アクセス バインディングの作成に必要な組織レベルの IAM 権限を付与します。
コンソール
Google Cloud コンソールで [IAM] ページに移動します。
[アクセス権を付与] をクリックして、以下を構成します。
- 新しいプリンシパル: 権限を付与するユーザーまたはグループを指定します。
- ロールを選択: [Access Context Manager] > [Cloud アクセス バインディング管理者] を選択します。
[保存] をクリックします。
gcloud
組織レベルの IAM 権限を追加するのに十分な権限で認証されていることを確認してください。少なくとも、組織管理者のロールが必要です。
適切な権限があることを確認したら、次のコマンドでログインします。
gcloud auth login次のコマンドを実行して
GcpAccessAdminロールを割り当てます。gcloud organizations add-iam-policy-binding ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdminORG_IDは、組織 ID です。組織 ID を把握していない場合は、次のコマンドを使用して確認できます。gcloud organizations listEMAILは、ロールを付与するユーザーまたはグループのメールアドレスです。
ユーザー グループを作成する
コンテキストアウェアの制限を受けるユーザー グループを作成する。このグループのいずれかのユーザーが組織のメンバーでもある場合は、 Google Cloud コンソールとGoogle Cloud API にアクセスするために作成したアクセスレベルを満たす必要があります。
Endpoint Verification をデプロイする
Endpoint Verification をデプロイするは、デバイス属性をアクセス制御ポリシーに統合するためのオプションの手順です。この機能を使用すると、OS バージョンや構成などのデバイス属性に基づいてリソースへのアクセスを許可または拒否することで、組織のセキュリティを強化できます。
Endpoint Verification は、macOS、Windows、Linux で Chrome 拡張機能として実行され、モデルや OS バージョンなどのデバイス特性と、ディスク暗号化、ファイアウォール、画面ロック、OS パッチの有無などのセキュリティ特性に基づいてアクセス制御ポリシーを作成できます。
さらに、証明書ベースのアクセスを必須にすることもできます。これにより、確認済みデバイス証明書が存在することを確認してセキュリティを強化し、ユーザー認証情報が侵害された場合でも、承認されたデバイスのみがリソースにアクセスできるようにします。
管理者は、 Google Cloud コンソールを使用して、組織の会社所有デバイスに拡張機能をデプロイできます。また、組織のメンバーは、拡張機能を自分でインストールすることもできます。