Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare l'accesso sensibile al contesto

Questa pagina spiega come configurare l'accesso sensibile al contesto. Puoi utilizzare l'accesso sensibile al contesto per:

Definisci criteri di accesso per le risorse Google Cloud in base ad attributi come identità utente, rete, posizione e stato del dispositivo.
Controlla la durata della sessione e i metodi di riautenticazione per l'accesso continuo.

Anteprima — Session controls feature only

Questa funzionalità è soggetta ai "Termini delle Offerte pre-GA" nella sezione Termini di servizio generali dei Termini specifici dei servizi. Le funzionalità pre-GA sono disponibili "così come sono" e potrebbero avere un supporto limitato. Per saperne di più, consulta le descrizioni della fase di lancio.

L'accesso sensibile al contesto viene applicato ogni volta che un utente accede a un'applicazione client che richiede un ambito Google Cloud , inclusa la console Google Cloud sul web e Google Cloud CLI.

Concedi le autorizzazioni IAM richieste

Concedi le autorizzazioni IAM a livello di organizzazione necessarie per creare le associazioni di accesso di Gestore contesto accesso.

Console

Vai alla pagina IAM nella console Google Cloud .

Vai a IAM
Fai clic su Concedi l'accesso e configura quanto segue:
- Nuove entità: specifica l'utente o il gruppo a cui concedere le autorizzazioni.
- Seleziona un ruolo: seleziona Gestore contesto accesso > Amministratore binding accesso cloud.
Fai clic su Salva.

gcloud

Assicurati di essere autenticato con privilegi sufficienti per aggiungere autorizzazioni IAM a livello di organizzazione. Come minimo, devi disporre del ruolo Amministratore dell'organizzazione.

Dopo aver verificato di disporre delle autorizzazioni corrette, accedi con:
```
gcloud auth login
```
Assegna il ruolo GcpAccessAdmin eseguendo questo comando:
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID è l'ID della tua organizzazione. Se non hai ancora l'ID organizzazione, puoi utilizzare il seguente comando per trovarlo:
```
 gcloud organizations list
```
- EMAIL è l'indirizzo email della persona o del gruppo a cui vuoi concedere il ruolo.
Nota: per l'accesso di sola lettura ai binding, puoi assegnare il ruolo accesscontextmanager.gcpAccessReader.

Creare un gruppo di utenti

Crea un gruppo di utenti che devono essere vincolati dalle limitazioni sensibili al contesto. Gli utenti di questo gruppo che sono anche membri della tua organizzazione devono soddisfare tutti i livelli di accesso che hai creato per accedere alla console Google Cloud e alle APIGoogle Cloud .

Esegui il deployment della verifica degli endpoint

Il deployment della verifica degli endpoint è un passaggio facoltativo che ti consente di integrare gli attributi dei dispositivi nei tuoi criteri di controllo dell'accesso#39;accesso. Puoi utilizzare questa funzionalità per migliorare la sicurezza della tua organizzazione concedendo o negando l'accesso alle risorse in base agli attributi del dispositivo, come la versione e la configurazione del sistema operativo.

Verifica endpoint viene eseguita come estensione di Chrome su macOS, Windows e Linux e ti consente di creare critericontrollo dell'accessoo basati su caratteristiche del dispositivo come modello e versione del sistema operativo e su caratteristiche di sicurezza come la presenza di crittografia del disco, un firewall, un blocco schermo e patch del sistema operativo.

Inoltre, puoi richiedere l'accesso basato su certificati, che garantisce la presenza di un certificato del dispositivo verificato per aggiungere un ulteriore livello di sicurezza e assicurare che solo i dispositivi autorizzati possano accedere alle risorse, anche se le credenziali utente sono compromesse.

Un amministratore può eseguire il deployment dell'estensione sui dispositivi di proprietà aziendale di un'organizzazione utilizzando la console Google Cloud , oppure i membri dell'organizzazione possono installarla autonomamente.