Halaman ini diterjemahkan oleh Cloud Translation API.

Menyiapkan akses kontekstual

Halaman ini menjelaskan cara menyiapkan akses berbasis konteks. Anda dapat menggunakan akses berbasis konteks untuk melakukan hal berikut:

Tentukan kebijakan akses untuk resource Google Cloud berdasarkan atribut seperti identitas pengguna, jaringan, lokasi, dan status perangkat.
Mengontrol durasi sesi dan metode autentikasi ulang untuk akses berkelanjutan.

Akses berbasis konteks diterapkan setiap kali pengguna mengakses aplikasi klien yang memerlukan cakupan Google Cloud, termasuk konsol Google Cloud di web dan Google Cloud CLI.

Memberikan izin IAM yang diperlukan

Berikan izin IAM di tingkat organisasi yang diperlukan untuk membuat binding akses Access Context Manager.

Konsol

Buka halaman IAM di Konsol Google Cloud.

Buka IAM
Klik Berikan akses dan konfigurasikan hal berikut:
- Akun utama baru: Tentukan pengguna atau grup yang ingin Anda beri izin.
- Select a role: Pilih Access Context Manager > Cloud Access Binding Admin.
Klik Simpan.

gcloud

Pastikan Anda diautentikasi dengan hak istimewa yang memadai untuk menambahkan izin IAM di tingkat organisasi. Minimal, Anda memerlukan peran Organization Admin.

Setelah Anda mengonfirmasi bahwa Anda memiliki izin yang tepat, login dengan:
```
gcloud auth login
```
Tetapkan peran GcpAccessAdmin dengan menjalankan perintah berikut:
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID adalah ID untuk organisasi Anda. Jika belum memiliki ID organisasi, Anda dapat menggunakan perintah berikut untuk menemukannya:
```
 gcloud organizations list
```
- EMAIL adalah alamat email orang atau grup yang ingin Anda beri peran.
Catatan: Untuk akses hanya baca ke binding, Anda dapat menetapkan peran accesscontextmanager.gcpAccessReader.

Membuat grup pengguna

Buat grup pengguna yang harus terikat oleh pembatasan berbasis konteks. Setiap pengguna dalam grup ini yang juga merupakan anggota organisasi Anda harus memenuhi tingkat akses apa pun yang Anda buat untuk mengakses konsol Google Cloud dan Google Cloud API.

Men-deploy Verifikasi Endpoint

Men-deploy Verifikasi Endpoint adalah langkah opsional yang memungkinkan Anda mengintegrasikan atribut perangkat ke dalam kebijakan kontrol akses. Anda dapat menggunakan kemampuan ini untuk meningkatkan keamanan organisasi dengan memberikan atau menolak akses ke resource berdasarkan atribut perangkat seperti versi dan konfigurasi OS.

Verifikasi Endpoint berjalan sebagai ekstensi Chrome di macOS, Windows, dan Linux serta memungkinkan Anda membuat kebijakan kontrol akses berdasarkan karakteristik perangkat seperti model, dan versi OS, serta karakteristik keamanan seperti keberadaan enkripsi disk, firewall, kunci layar, dan patch OS.

Selain itu, Anda dapat mewajibkan akses berbasis sertifikat, yang memastikan adanya sertifikat perangkat terverifikasi untuk menambahkan lapisan keamanan tambahan dan memastikan bahwa hanya perangkat yang diotorisasi yang dapat mengakses resource, meskipun kredensial pengguna disusupi.

Administrator dapat men-deploy ekstensi ke perangkat milik perusahaan organisasi menggunakan konsol Google Cloud, atau anggota organisasi dapat menginstalnya sendiri.