Configurare l'accesso sensibile al contesto

Questa pagina spiega come configurare l'accesso basato sul contesto. Puoi utilizzare l'accesso basato sul contesto per:

  • Definisci i criteri di accesso per le risorse Google Cloud in base ad attributi come l'identità utente, la rete, la posizione e lo stato del dispositivo.
  • Controlla la durata della sessione e i metodi di riautenticazione per l'accesso continuo.

L'accesso sensibile al contesto viene applicato ogni volta che un utente accede a un'applicazione client che richiede un ambito Google Cloud, inclusa la console Google Cloud sul web e lGoogle Cloud CLI.

Concedi le autorizzazioni IAM richieste

Concedi le autorizzazioni IAM a livello di organizzazione necessarie per creare associazioni di accesso di Gestore contesto accesso.

Console

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Fai clic su Concedi l'accesso e configura quanto segue:

    • Nuovi principali: specifica l'utente o il gruppo a cui vuoi concedere le autorizzazioni.
    • Seleziona un ruolo: seleziona Gestore contesto accesso > Amministratore associazione accesso cloud.

  3. Fai clic su Salva.

gcloud

  1. Assicurati di aver eseguito l'autenticazione con privilegi sufficienti per aggiungere le autorizzazioni IAM a livello di organizzazione. Come requisito minimo, è necessario il ruolo Amministratore dell'organizzazione.

    Dopo aver verificato di disporre delle autorizzazioni corrette, accedi con:

    gcloud auth login

  2. Assegna il ruolo GcpAccessAdmin eseguendo il seguente comando:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID è l'ID della tua organizzazione. Se non hai ancora l'ID organizzazione, puoi trovarlo utilizzando il seguente comando:

       gcloud organizations list

    • EMAIL è l'indirizzo email della persona o del gruppo a cui vuoi concedere il ruolo.

Creare un gruppo di utenti

Crea un gruppo di utenti che devono essere vincolati da limitazioni basate sul contesto. Tutti gli utenti di questo gruppo che sono anche membri della tua organizzazione devono soddisfare i livelli di accesso che hai creato per accedere alla console Google Cloud e alle API Google Cloud.

Esegui il deployment della verifica degli endpoint

Il deployment della verifica degli endpoint è un passaggio facoltativo che ti consente di integrare gli attributi dei dispositivi nei tuoi criteri di controllo dell'accesso#39;accesso. Puoi utilizzare questa funzionalità per migliorare la sicurezza della tua organizzazione concedendo o negando l'accesso alle risorse in base agli attributi del dispositivo, come la versione e la configurazione del sistema operativo.

La verifica degli endpoint viene eseguita come estensione di Chrome su macOS, Windows e Linux e consente di creare criteri di controllo dell'accesso in base alle caratteristiche del dispositivo, come il modello e la versione del sistema operativo, e alle caratteristiche di sicurezza, come la presenza della crittografia del disco, un firewall, il blocco schermo e le patch del sistema operativo.

Inoltre, puoi richiedere l'accesso basato su certificato, che garantisce la presenza di un certificato del dispositivo verificato per aggiungere un ulteriore livello di sicurezza e assicurarti che solo i dispositivi autorizzati possano accedere alle risorse, anche se le credenziali utente sono compromesse.

Un amministratore può eseguire il deployment dell'estensione sui dispositivi di proprietà dell'azienda di un'organizzazione utilizzando la console Google Cloud, o i membri dell'organizzazione possono installarla autonomamente.