このページは Cloud Translation API によって翻訳されました。

コンテキストアウェアアクセスを設定する

このページでは、コンテキスト対応アクセスを設定する方法について説明します。コンテキスト対応アクセスを使用すると、次のことができます。

ユーザー ID、ネットワーク、ロケーション、デバイスの状態などの属性に基づいて、Google Cloud リソースのアクセスポリシーを定義します。
継続的なアクセスのセッション継続時間と再認証方法を制御する。

コンテキストアウェアアクセスは、ユーザーが Google Cloud スコープを必要とするクライアントアプリケーション（ウェブ上の Google Cloud コンソールや Google Cloud CLI など）にアクセスするたびに適用されます。

必要な IAM 権限を付与する

Access Context Manager アクセスバインディングの作成に必要な組織レベルの IAM 権限を付与します。

コンソール

Google Cloud コンソールで [IAM] ページに移動します。

[IAM] に移動
[アクセス権を付与] をクリックして、以下を構成します。
- 新しいプリンシパル: 権限を付与するユーザーまたはグループを指定します。
- ロールを選択: [Access Context Manager] > [Cloud アクセスバインディング管理者] を選択します。
[保存] をクリックします。

gcloud

組織レベルの IAM 権限を追加するのに十分な権限で認証されていることを確認してください。少なくとも、組織管理者のロールが必要です。

適切な権限があることを確認したら、次のコマンドでログインします。
```
gcloud auth login
```
次のコマンドを実行して GcpAccessAdmin ロールを割り当てます。
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID は、組織 ID です。組織 ID を把握していない場合は、次のコマンドを使用して確認できます。
```
 gcloud organizations list
```
- EMAIL は、ロールを付与するユーザーまたはグループのメールアドレスです。
注: バインディングに対する読み取り専用アクセス権を付与するために、accesscontextmanager.gcpAccessReader ロールを割り当てることもできます。

ユーザーグループを作成する

コンテキストアウェアの制限を受けるユーザーグループを作成する。このグループのいずれかのユーザーが組織のメンバーでもある場合は、事前に作成されたアクセスレベルを満たし、Google Cloud コンソールと Google Cloud API にアクセスできるようにする必要があります。

Endpoint Verification をデプロイする

Endpoint Verification をデプロイするは、デバイス属性をアクセス制御ポリシーに統合するためのオプションの手順です。この機能を使用すると、OS バージョンや構成などのデバイス属性に基づいてリソースへのアクセスを許可または拒否することで、組織のセキュリティを強化できます。

Endpoint Verification は、macOS、Windows、Linux で Chrome 拡張機能として実行され、モデルや OS バージョンなどのデバイス特性と、ディスク暗号化、ファイアウォール、画面ロック、OS パッチの有無などのセキュリティ特性に基づいてアクセス制御ポリシーを作成できます。

さらに、証明書ベースのアクセスを必須にすることもできます。これにより、確認済みデバイス証明書が存在することを確認してセキュリティを強化し、ユーザー認証情報が不正使用された場合でも、承認されたデバイスのみがリソースにアクセスできるようにします。

管理者は、Google Cloud コンソールを使用して組織の会社所有デバイスに拡張機能をデプロイできます。また、組織のメンバーは、自分でインストールすることもできます。