Kontextsensitiven Zugriff einrichten

Auf dieser Seite wird beschrieben, wie Sie den kontextbezogenen Zugriff einrichten. Mit dem kontextbezogenen Zugriff können Sie Folgendes tun:

  • Definieren Sie Zugriffsrichtlinien für Google Cloud Ressourcen basierend auf Attributen wie Nutzeridentität, Netzwerk, Standort und Gerätestatus.
  • Sitzungsdauer und Methoden für die erneute Authentifizierung für den fortlaufenden Zugriff steuern.

Der kontextsensitive Zugriff wird immer dann erzwungen, wenn ein Nutzer auf eine Clientanwendung zugreift, für die ein Google Cloud -Umfang erforderlich ist, einschließlich der Google Cloud Console im Web und der Google Cloud CLI.

Erforderliche IAM-Berechtigungen gewähren

Gewähren Sie die IAM-Berechtigungen auf Organisationsebene, die zum Erstellen von Access Context Manager-Zugriffsbindungen erforderlich sind.

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf Zugriff gewähren und konfigurieren Sie Folgendes:

    • Neue Hauptkonten: Geben Sie den Nutzer oder die Gruppe an, dem bzw. der Sie die Berechtigungen erteilen möchten.
    • Rolle auswählen: Wählen Sie Access Context Manager > Administrator für Cloud-Zugriffsbindungen aus.
  3. Klicken Sie auf Speichern.

  1. Prüfen Sie, ob Sie über ausreichende Berechtigungen verfügen, um IAM-Berechtigungen auf Organisationsebene hinzuzufügen. Sie benötigen mindestens die Rolle Organisationsadministrator.

    Nachdem Sie überprüft haben, ob Sie die richtigen Berechtigungen haben, melden Sie sich mit folgendem an:

    gcloud auth login
    
  2. Weisen Sie die Rolle GcpAccessAdmin mit folgendem Befehl zu:

    gcloud organizations add-iam-policy-binding ORG_ID \
      --member=user:EMAIL \
      --role=roles/accesscontextmanager.gcpAccessAdmin
    
    • ORG_ID ist die ID Ihrer Organisation. Wenn Sie Ihre Organisations-ID noch nicht haben, können Sie sie mit dem folgenden Befehl ermitteln:

       gcloud organizations list
      
    • EMAIL ist die E-Mail-Adresse der Person oder Gruppe, der Sie die Rolle zuweisen möchten.

Gruppe von Nutzern erstellen

Erstellen Sie eine Nutzergruppe, die an kontextsensitive Einschränkungen gebunden sein soll. Alle Nutzer in dieser Gruppe, die auch Mitglieder Ihrer Organisation sind, müssen allen Zugriffsebenen entsprechen, die Sie für den Zugriff auf die Google Cloud Console und dieGoogle Cloud APIs erstellt haben.

Endpunktprüfung bereitstellen

Die Bereitstellung der Endpunktprüfung ist ein optionaler Schritt, mit dem Sie Geräteattribute in Ihre Zugriffssteuerungsrichtlinien einbinden können. Mit dieser Funktion können Sie die Sicherheit Ihrer Organisation erhöhen, indem Sie den Zugriff auf Ressourcen basierend auf Geräteattributen wie Betriebssystemversion und Konfiguration gewähren oder verweigern.

Die Endpunktprüfung wird als Chrome-Erweiterung unter macOS, Windows und Linux ausgeführt. Sie können damit Zugriffssteuerungsrichtlinien basierend auf Gerätemerkmalen wie Modell und Betriebssystemversion sowie Sicherheitsmerkmalen wie Laufwerkverschlüsselung, Firewall, Bildschirmsperre und Betriebssystem-Patches erstellen.

Außerdem können Sie einen zertifikatbasierten Zugriff verlangen. Dabei wird ein bestätigtes Gerätezertifikat vorausgesetzt, um eine zusätzliche Sicherheitsebene hinzuzufügen und dafür zu sorgen, dass nur autorisierte Geräte auf Ressourcen zugreifen können, auch wenn Nutzeranmeldedaten manipuliert wurden.

Ein Administrator kann die Erweiterung über die Google Cloud Console auf den unternehmenseigenen Geräten einer Organisation bereitstellen oder Mitglieder der Organisation können sie selbst installieren.