Configurer l'accès contextuel

Cette page explique comment configurer l'accès contextuel. Vous pouvez utiliser l'accès contextuel pour effectuer les opérations suivantes:

  • Définissez des règles d'accès pour les Google Cloud ressources en fonction d'attributs tels que l'identité de l'utilisateur, le réseau, l'emplacement et l'état de l'appareil.
  • Contrôlez la durée des sessions et les méthodes de réauthentification pour un accès continu.

L'accès contextuel est appliqué chaque fois qu'un utilisateur accède à une application cliente nécessitant une portée Google Cloud , y compris la console Google Cloud sur le Web et la Google Cloud CLI.

Accorder les autorisations Cloud IAM requises

Accordez les autorisations IAM au niveau de l'organisation qui sont requises pour créer des liaisons d'accès Access Context Manager.

Console

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Cliquez sur Accorder l'accès, puis configurez les éléments suivants:

    • Nouveaux comptes principaux: spécifiez l'utilisateur ou le groupe auquel vous souhaitez accorder les autorisations.
    • Sélectionner un rôle : sélectionnez Access Context Manager > Administrateur de la liaison d'accès cloud.
  3. Cliquez sur Enregistrer.

gcloud

  1. Vérifiez que vous êtes authentifié et que vous disposez des droits suffisants pour ajouter des autorisations IAM au niveau de l'organisation. Vous devez au minimum disposer du rôle d'administrateur de l'organisation.

    Après vous être assuré que vous disposez des autorisations nécessaires, connectez-vous avec:

    gcloud auth login
    
  2. Attribuez le rôle GcpAccessAdmin en exécutant la commande suivante :

    gcloud organizations add-iam-policy-binding ORG_ID \
      --member=user:EMAIL \
      --role=roles/accesscontextmanager.gcpAccessAdmin
    
    • ORG_ID est l'ID de votre organisation. Si vous ne disposez pas encore de l'ID de votre organisation, vous pouvez utiliser la commande suivante pour le trouver :

       gcloud organizations list
      
    • EMAIL est l'adresse e-mail de la personne ou du groupe auquel vous souhaitez accorder le rôle.

Créer un groupe d'utilisateurs

Créez un groupe d'utilisateurs qui doivent être associés à des restrictions contextuelles. Tous les utilisateurs de ce groupe, qui sont également membres de votre organisation, doivent respecter les niveaux d'accès que vous avez créés pour accéder à la console Google Cloud et aux APIGoogle Cloud .

Déployer Endpoint Verification

Le déploiement de la validation des points de terminaison est une étape facultative qui vous permet d'intégrer les attributs des appareils à vos stratégies de contrôle des accès. Vous pouvez utiliser cette fonctionnalité pour renforcer la sécurité de votre organisation en accordant ou en refusant l'accès aux ressources en fonction des attributs de l'appareil, tels que la version et la configuration de l'OS.

La validation des points de terminaison s'exécute en tant qu'extension Chrome sur macOS, Windows et Linux. Elle vous permet de créer des stratégies de contrôle des accès en fonction des caractéristiques de l'appareil, comme le modèle et la version de l'OS, ainsi que des caractéristiques de sécurité, comme la présence de chiffrement de disque, d'un pare-feu, d'un verrouillage de l'écran et de correctifs de l'OS.

Vous pouvez également exiger un accès basé sur des certificats, qui garantit la présence d'un certificat d'appareil validé pour ajouter une couche de sécurité supplémentaire et s'assurer que seuls les appareils autorisés peuvent accéder aux ressources, même si les identifiants de l'utilisateur sont compromis.

Un administrateur peut déployer l'extension sur les appareils détenus par l'entreprise à l'aide de la console Google Cloud, ou les membres de l'organisation peuvent l'installer eux-mêmes.