Cómo configurar el acceso adaptado al contexto

En esta página, se explica cómo configurar el acceso adaptado al contexto. Puedes usar el acceso consciente del contexto para hacer lo siguiente:

  • Define políticas de acceso para Google Cloud recursos en función de atributos como la identidad del usuario, la red, la ubicación y el estado del dispositivo.
  • Controla la duración de la sesión y los métodos de reautenticación para el acceso continuo.

El acceso adaptado al contexto se aplica cada vez que un usuario accede a una aplicación cliente que requiere un permiso Google Cloud , incluida la consola de Google Cloud en la Web y Google Cloud CLI.

Otorga los permisos de IAM necesarios

Otorga a nivel de organización los permisos de IAM que se requieren para crear vinculaciones de acceso de Access Context Manager.

Console

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. Haz clic en Otorgar acceso y configura lo siguiente:

    • Principales nuevas: Especifica el usuario o grupo al que deseas otorgar los permisos.
    • Selecciona una función: Selecciona Access Context Manager > Administrador de vinculaciones de acceso a Cloud.
  3. Haga clic en Save.

gcloud

  1. Asegúrate de haberte autenticado con privilegios suficientes para agregar permisos de IAM a nivel de la organización. Como mínimo, necesitas el rol de Administrador de la organización.

    Una vez que confirmes que tienes los permisos adecuados, accede con el siguiente comando:

    gcloud auth login
    
  2. Asigna el rol GcpAccessAdmin mediante la ejecución del siguiente comando:

    gcloud organizations add-iam-policy-binding ORG_ID \
      --member=user:EMAIL \
      --role=roles/accesscontextmanager.gcpAccessAdmin
    
    • ORG_ID es el ID de tu organización. Si aún no tienes el ID de tu organización, puedes usar el siguiente comando para encontrarlo:

       gcloud organizations list
      
    • EMAIL es la dirección de correo electrónico de la persona o el grupo al que deseas otorgar el rol.

Cómo crear un grupo de usuarios

Crea un grupo de usuarios que esté sujeto a las restricciones contextuales. Cualquier usuario de este grupo que también sea miembro de tu organización debe cumplir con los niveles de acceso que creaste para acceder a la consola de Google Cloud y a las APIs deGoogle Cloud .

Implementa la verificación de extremos

La implementación de Endpoint Verification es un paso opcional que te permite integrar atributos del dispositivo en tus políticas de control de acceso. Puedes usar esta función para mejorar la seguridad de tu organización otorgando o denegando el acceso a los recursos en función de los atributos del dispositivo, como la versión y la configuración del SO.

Endpoint Verification se ejecuta como una extensión de Chrome en macOS, Windows y Linux, y te permite crear políticas de control de acceso en función de las características del dispositivo, como el modelo y la versión del SO, y las características de seguridad, como la presencia de encriptación de disco, un firewall, un bloqueo de pantalla y parches del SO.

Además, puedes requerir acceso basado en certificados, que garantiza la presencia de un certificado de dispositivo verificado para agregar una capa adicional de seguridad y garantizar que solo los dispositivos autorizados puedan acceder a los recursos, incluso si se vulneran las credenciales del usuario.

Un administrador puede implementar la extensión en los dispositivos de la organización de la empresa con la consola de Google Cloud, o los miembros de la organización pueden instalarla por su cuenta.