Auf dieser Seite wird beschrieben, wie Sie den kontextbezogenen Zugriff einrichten. Mit dem kontextbezogenen Zugriff können Sie Folgendes tun:
- Definieren Sie Zugriffsrichtlinien für Google Cloud Ressourcen basierend auf Attributen wie Nutzeridentität, Netzwerk, Standort und Gerätestatus.
Sitzungsdauer und Methoden für die erneute Authentifizierung für den fortlaufenden Zugriff steuern.
Der kontextsensitive Zugriff wird immer dann erzwungen, wenn ein Nutzer auf eine Clientanwendung zugreift, für die ein Google Cloud -Umfang erforderlich ist, einschließlich der Google Cloud Console im Web und der Google Cloud CLI.
Erforderliche IAM-Berechtigungen gewähren
Gewähren Sie die IAM-Berechtigungen auf Organisationsebene, die zum Erstellen von Access Context Manager-Zugriffsbindungen erforderlich sind.
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Klicken Sie auf Zugriff gewähren und konfigurieren Sie Folgendes:
- Neue Hauptkonten: Geben Sie den Nutzer oder die Gruppe an, dem bzw. der Sie die Berechtigungen erteilen möchten.
- Rolle auswählen: Wählen Sie Access Context Manager > Administrator für Cloud-Zugriffsbindungen aus.
Klicken Sie auf Speichern.
Prüfen Sie, ob Sie über ausreichende Berechtigungen verfügen, um IAM-Berechtigungen auf Organisationsebene hinzuzufügen. Sie benötigen mindestens die Rolle Organisationsadministrator.
Nachdem Sie überprüft haben, ob Sie die richtigen Berechtigungen haben, melden Sie sich mit folgendem an:
gcloud auth login
Weisen Sie die Rolle
GcpAccessAdmin
mit folgendem Befehl zu:gcloud organizations add-iam-policy-binding
ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdminORG_ID
ist die ID Ihrer Organisation. Wenn Sie Ihre Organisations-ID noch nicht haben, können Sie sie mit dem folgenden Befehl ermitteln:gcloud organizations list
EMAIL
ist die E-Mail-Adresse der Person oder Gruppe, der Sie die Rolle zuweisen möchten.
Gruppe von Nutzern erstellen
Erstellen Sie eine Nutzergruppe, die an kontextsensitive Einschränkungen gebunden sein soll. Alle Nutzer in dieser Gruppe, die auch Mitglieder Ihrer Organisation sind, müssen allen Zugriffsebenen entsprechen, die Sie für den Zugriff auf die Google Cloud Console und dieGoogle Cloud APIs erstellt haben.
Endpunktprüfung bereitstellen
Die Bereitstellung der Endpunktprüfung ist ein optionaler Schritt, mit dem Sie Geräteattribute in Ihre Zugriffssteuerungsrichtlinien einbinden können. Mit dieser Funktion können Sie die Sicherheit Ihrer Organisation erhöhen, indem Sie den Zugriff auf Ressourcen basierend auf Geräteattributen wie Betriebssystemversion und Konfiguration gewähren oder verweigern.
Die Endpunktprüfung wird als Chrome-Erweiterung unter macOS, Windows und Linux ausgeführt. Sie können damit Zugriffssteuerungsrichtlinien basierend auf Gerätemerkmalen wie Modell und Betriebssystemversion sowie Sicherheitsmerkmalen wie Laufwerkverschlüsselung, Firewall, Bildschirmsperre und Betriebssystem-Patches erstellen.
Außerdem können Sie einen zertifikatbasierten Zugriff verlangen. Dabei wird ein bestätigtes Gerätezertifikat vorausgesetzt, um eine zusätzliche Sicherheitsebene hinzuzufügen und dafür zu sorgen, dass nur autorisierte Geräte auf Ressourcen zugreifen können, auch wenn Nutzeranmeldedaten manipuliert wurden.
Ein Administrator kann die Erweiterung über die Google Cloud Console auf den unternehmenseigenen Geräten einer Organisation bereitstellen oder Mitglieder der Organisation können sie selbst installieren.